根據Microsoft的說法,將近一百萬個設備被濫用,該設備將Github濫用為分配平台。
攻擊者將用戶從非法流網站重定向到惡意的GitHub Repositories到惡意的github repositories,並利用平台的信譽來利用該平台的危害效果它始於2024年12月,通過將訪問者暴露於欺騙性s託管危險文件的體。通過利用Github的可信賴狀態,攻擊者增加了受害者下載和執行惡意軟件的可能性。
根據Microsoft的說法,初始有效載荷觸發了涉及系統偵察,數據收集的多階段攻擊鏈,cookie和存儲的密碼。
該活動影響了全球近一百萬個設備,從個人消費者設備到組織網絡的系統受損。惡意軟件的主要目標是數據盜用,對用戶隱私和組織安全構成了嚴重的風險。
Microsoft開始了緩解措施,但是攻擊的廣泛範圍說明了確保Github等開放平台的挑戰,在此範圍內,信任信號可以被操縱,以獲取惡意的收益
在2024年3月,攻擊者通過克隆合法的項目,注入惡意軟件並將其重新上傳為欺騙性名稱中的叉子,從而損害了100,000多個存儲庫。該策略使開發人員很難區分合法和惡意存儲庫,增加了無意的惡意軟件集成的風險。
到2024年4月,網絡犯罪分子將注意力轉移到了Github的評論功能上,將惡意軟件的鏈接嵌入了評論中。這些鏈接旨在類似於合法的存儲庫內容,從而進一步使檢測和去除變得複雜。微軟採取了措施刪除惡意評論,但指出了完全消除這種複雜策略的困難。
在2024年7月,Stargazer Goblin Thrent Group通過劫持了3,000多個Github帳戶,升級了攻擊。該小組使用欺騙性的帳戶採用了分佈式服務(DAAS)模型來分發惡意軟件,例如Redline,Lumma竊取者和Rhadamanthys。
他們的策略包括人工地提高通過假星和叉子的惡意回購的可信度,使其對安全系統進行了更難的啟動,以使他們的啟動時間更高超過29,000條包含三天內包含惡意軟件鏈接的評論。這些鏈接導致託管在MediaFire等外部平台上的檔案,其中包含旨在提取敏感數據的信息竊取器的檔案。
在2024年12月發現了進一步操縱信任指標的檔案,當時研究人員發現了超過450萬個分配給成千上萬個存儲庫的假星。 These fraudulent stars inflated the credibility of malicious projects, misleading users and developers into trusting and downloading compromised content.
Microsoft’s AI-Driven Security Response
To address these escalating threats, Microsoft has been refining AI-driven detection systems aimed at identifying and flagging suspicious activity on GitHub.
This approach, outlined in Microsoft’s AI security strategy, relies on machine learning to automatically evaluate uploads and alert human reviewers when suspicious patterns are detected.
While these efforts have improved detection rates, the complexity of recent multi-stage attacks highlights ongoing limitations.
Automated systems can struggle to identify well-disguised malicious activities, especially when attackers manipulate GitHub’s features to bypass detection.
Microsoft acknowledges that continuous improvements are required and has encouraged developers to actively report suspicious behavior and adhere to stringent repository security practices.
Strengthening Security for Developers and Users
The abuse of GitHub’s trust indicators in these campaigns emphasizes the critical role of vigilance among developers and users.鼓勵開發人員對其存儲庫進行定期審核,監視未經授權的更改並驗證外部貢獻的真實性。
實施自動安全工具並採用嚴格的審查協議可以最大程度地減少妥協的風險。鑑於攻擊者如何操縱恆星和叉子等信任信號,評估表面層面指標以外的存儲庫活動已成為必不可少的。
對於用戶,尤其是那些與開源項目相關的人,驗證下載的合法性至關重要。避免從未經驗證或可疑來源下載,尤其是當來自非法流網站等平台的鏈接提示時,是一個基本的安全步驟。
利用沙箱環境來測試未知代碼並確保安全解決方案的定期更新可以減少對惡意軟件感染的脆弱性。 Microsoft還建議將用戶重置密碼妥協並監視其帳戶以進行任何未經授權的訪問,尤其是如果敏感信息已暴露。
開放源平台中信任的更廣泛的挑戰
該惡意軟件的規模和復雜性對開放式Ecosce ecosse Semce Semce Source Source Semse Sourse Source Semse Sourse Source Semsesssssssse Semce。 Platforms like GitHub, which rely on trust signals to facilitate collaboration, are inherently vulnerable to exploitation.
The manipulation of features such as repository stars and comments—highlighted in incidents like the December 2024 fake star campaigns—shows how these trust signals can be abused to grant legitimacy to malicious projects.
Other incidents, including the surge in malicious repository forks and the Stargazer Goblin campaign, demonstrated how threat actors have adapted their tactics.這些事件揭示了攻擊者如何利用開源功能來促進其惡意軟件,隱藏了看似合理貢獻的惡意意圖。
這種模式表明,需要超越表面級信任指標的安全機制。
,挑戰是由網絡界可以適應其模式的快速挑戰的挑戰。諸如大規模創建虛假帳戶,操縱存儲庫指標以及利用GitHub的開放式政策等技術,表明簡單地調節內容不足。
攻擊者正在積極地尋找繞過安全性的新方法>
Microsoft已承認,加強平台安全需要多方面的方法。除了完善AI驅動的檢測系統外,該公司還致力於提高圍繞惡意內容的識別和刪除的惡意內容的透明度。
提高了節制系統的效率,並加強了這些努力的潛在危險活動是這些努力核心的過程。
但是,僅技術改進就不足以足夠。在開發人員社區中提高人們對如何利用信任信號的認識同樣重要。
Microsoft鼓勵開發人員採用最佳實踐來進行存儲庫安全,包括對外部貢獻進行徹底驗證以及對存儲庫普及度量的批判性分析。該公司還提倡與安全研究人員和社區成員進行更深入的合作,以增強事件報告和檢測方法。