A Microsoft szerint a Github-tól elosztó platformként elosztó platformonként közel egymillió eszköz veszélybe került.
A 2024 decemberében kezdődött kampány úgy működött, hogy a látogatókat illegális streaming platformoknak kitévesztette. a veszélyes fájlokat tároló Github adattárakon. A GitHub megbízható státusának kiaknázásával a támadók megnövelték annak valószínűségét, hogy az áldozatok letöltik és végrehajtják a rosszindulatú programokat. A hitelesítő adatok, a sütik és a tárolt jelszavak. A rosszindulatú programok elsődleges célja az adatlopás volt, amely komoly kockázatot jelent a felhasználói adatvédelemre és a szervezeti biztonságra. Az elmúlt évben a GitHub-t célzó biztonsági események sorozatának csúcspontja. Ez a stratégia megnehezítette a fejlesztők számára a legitim és a rosszindulatú tárolók megkülönböztetését, növelve a nem szándékos rosszindulatú programok integrációjának kockázatát. Ezeket a linkeket úgy tervezték, hogy hasonlítsanak a legitim tárolótartalomra, tovább bonyolítva a detektálást és az eltávolítást. A Microsoft lépéseket tett a rosszindulatú megjegyzések eltávolítása érdekében, de megjegyezte, hogy nehéz az ilyen kifinomult taktika teljes felszámolásának. A csoport egy szolgáltatásként történő disztribúciós (DAA) modellt alkalmazott, megtévesztő fiókok felhasználásával a rosszindulatú programok, például a Redline, a Lumma Stealer és a Rhadamanthys terjesztésére. 2024. szeptember, amikor több mint 29 000 hozzászólást tettek közzé, amelyek három napon belül malware-terhelésű linkeket tartalmaznak. Ezek a linkek olyan archívumokhoz vezettek, amelyeket olyan külső platformokon tároltak, mint például a MediaFire, az archívumok, amelyek információs lopókat tartalmaznak, amelyek célja az érzékeny adatok kinyerése. Ezek a csalárd csillagok megemlítették a rosszindulatú projektek hitelességét, a felhasználókat és a fejlesztőket a veszélyeztetett tartalom megbízásában és letöltésében. A Microsoft AI biztonsági stratégiája a gépi tanulásra támaszkodik a feltöltések automatikus értékelésére és az emberi értékelők figyelmeztetésére, amikor gyanús mintákat észlelnek.
A Microsoft elismeri, hogy folyamatos fejlesztésekre van szükség, és arra ösztönözte a fejlesztőket, hogy aktívan jelentsék be a gyanús viselkedést, és tartsák be a szigorú raktárbiztonsági gyakorlatokat. A fejlesztőket arra ösztönzik, hogy rendszeresen végezzék el a tárolók rendszeres ellenőrzését, a jogosulatlan változások ellenőrzését és a külső hozzájárulások hitelességének ellenőrzését. Tekintettel arra, hogy a támadók miként manipulálták a bizalmi jeleket, mint a csillagok és a villák, elengedhetetlenné vált a feltételt, a felszíni szintű mutatókon kívüli értékelés. A letöltések elkerülése az igazolatlan vagy gyanús forrásokból, különösen akkor, ha a linkek olyan platformokból származnak, mint például az illegális streaming webhelyek, alapvető biztonsági lépés. A Microsoft azt is javasolja, hogy a veszélyeztetett felhasználók visszaállítsák a jelszavakat, és figyelemmel kísérjék fiókjaikat minden jogosulatlan hozzáféréshez, különösen, ha az érzékeny információk ki vannak téve. Az olyan platformok, mint a Github, amelyek bizalmi jelekre támaszkodnak az együttműködés megkönnyítése érdekében, természetéből adódóan érzékenyek a kizsákmányolásra. A Forks és a Stargazer Goblin kampány bebizonyította, hogy a fenyegetés színészei hogyan adaptálták taktikájukat. Ezek az események azt mutatták, hogy a támadók hogyan használják ki a nyílt forrású szolgáltatásokat a rosszindulatú programok előmozdítására, és a látszólag legitim hozzájárulások mögött elrejtik a rosszindulatú szándékokat. Olyan technikák, mint a tömegteremtés hamis fiókok, a tárolómutatók manipulálása és a GitHub nyitott politikáinak kiaknázása a rosszindulatú programok terjesztésére, hogy a tartalom egyszerűen történő moderálása nem elegendő. Az ökoszisztéma
A Microsoft elismerte, hogy a platform biztonságának megerősítése sokrétű megközelítést igényel. Az AI-vezérelt detektáló rendszerek finomításán túl a vállalat arra összpontosít, hogy javítsa az átláthatóságot a rosszindulatú tartalom azonosítása és eltávolítása körül. Ugyanilyen fontos a tudatosság növelése a fejlesztői közösség körében a bizalmi jelek kiaknázásáról. A társaság a biztonsági kutatókkal és a közösség tagjaival való mélyebb együttműködést támogatja az események jelentési és észlelési módszereinek javítása érdekében.
