Hampir satu juta peranti telah dikompromi dalam kempen malware global yang menyalahgunakan GitHub sebagai platform pengedaran, menurut Microsoft.
Kempen, yang bermula pada bulan Disember 2024, dikendalikan dengan mendedahkan pelawat ke platform penstriman haram untuk menipu s. Halaman sebelum mendarat di repositori GitHub yang menganjurkan fail berbahaya. Dengan mengeksploitasi status yang dipercayai GitHub, penyerang meningkatkan kemungkinan bahawa mangsa akan memuat turun dan melaksanakan malware. Maklumat sensitif panen, termasuk kelayakan log masuk, kuki, dan kata laluan yang disimpan.
Kempen ini telah menjejaskan hampir satu juta peranti di seluruh dunia, dengan sistem yang dikompromi dari peranti pengguna individu ke rangkaian organisasi. Objektif utama malware adalah kecurian data, yang menimbulkan risiko yang serius kepada privasi pengguna dan keselamatan organisasi.
Microsoft memulakan langkah-langkah pengurangan, tetapi jangkauan yang besar dari serangan itu menggambarkan cabaran-cabaran dalam mendapatkan platform terbuka seperti GitHub, Kempen terkini adalah kemuncak siri insiden keselamatan yang mensasarkan GitHub sepanjang tahun lalu. Strategi ini menjadikan sukar bagi pemaju untuk membezakan antara repositori yang sah dan berniat jahat, meningkatkan risiko integrasi malware yang tidak disengajakan. Pautan ini direka untuk menyerupai kandungan repositori yang sah, lagi mengesan pengesanan dan penyingkiran. Microsoft mengambil tindakan untuk menghapuskan komen yang berniat jahat tetapi menyatakan kesukaran untuk membasmi taktik yang canggih sepenuhnya. Kumpulan yang menggunakan model pengedaran-sebagai-perkhidmatan (DAAS), menggunakan akaun yang menipu untuk mengedarkan malware seperti redline, pencuri lumma, dan rhadamanthys. September 2024, apabila mereka menyiarkan lebih daripada 29,000 komen yang mengandungi pautan sarat malware dalam masa tiga hari. Pautan ini membawa kepada arkib yang dihoskan di platform luaran seperti MediaFire, dengan arkib yang mengandungi pencuri maklumat yang direka untuk mengekstrak data sensitif.
Manipulasi lanjut penunjuk amanah telah ditemui pada bulan Disember 2024, apabila penyelidik menemui lebih daripada 4.5 juta bintang palsu yang diberikan kepada beribu-ribu repositori. Bintang-bintang penipuan ini melambung kredibiliti projek-projek yang berniat jahat, pengguna yang mengelirukan dan pemaju untuk mempercayai dan memuat turun kandungan yang dikompromi. Ditulis dalam strategi keselamatan AI Microsoft, bergantung kepada pembelajaran mesin untuk menilai secara automatik dan memberi amaran kepada pengulas manusia apabila corak yang mencurigakan dikesan. untuk memintas pengesanan.
Microsoft mengakui bahawa penambahbaikan berterusan diperlukan dan telah menggalakkan pemaju untuk secara aktif melaporkan tingkah laku yang mencurigakan dan mematuhi amalan keselamatan repositori yang ketat. Pemaju digalakkan untuk menjalankan audit tetap repositori mereka, pemantauan untuk perubahan yang tidak dibenarkan dan mengesahkan kesahihan sumbangan luaran.
Melaksanakan alat keselamatan automatik dan mengadopsi protokol semakan yang ketat dapat meminimumkan risiko kompromi. Memandangkan bagaimana penyerang memanipulasi isyarat kepercayaan seperti bintang dan garpu, menilai aktiviti repositori di luar metrik peringkat permukaan telah menjadi penting.
Bagi pengguna, terutama yang terlibat dengan projek sumber terbuka, mengesahkan legitimasi muat turun adalah penting. Mengelakkan muat turun dari sumber yang tidak disahkan atau mencurigakan, terutamanya apabila diminta oleh pautan dari platform seperti tapak penstriman haram, adalah langkah keselamatan asas. Microsoft juga mengesyorkan bahawa pengguna yang dikompromi menetapkan semula kata laluan dan memantau akaun mereka untuk sebarang akses yang tidak dibenarkan, terutamanya jika maklumat sensitif telah didedahkan. Platform seperti GitHub, yang bergantung kepada isyarat amanah untuk memudahkan kerjasama, secara semulajadi terdedah kepada eksploitasi. Repositori Forks dan kempen Stargazer Goblin, menunjukkan bagaimana pelakon ancaman telah menyesuaikan taktik mereka. Peristiwa-peristiwa ini mendedahkan bagaimana penyerang mengeksploitasi ciri-ciri sumber terbuka untuk mempromosikan malware mereka, menyembunyikan niat jahat di sebalik sumbangan yang seolah-olah sah. Teknik-teknik seperti membuat akaun palsu secara besar-besaran, memanipulasi metrik repositori, dan mengeksploitasi dasar terbuka GitHub untuk mengedarkan malware menunjukkan bahawa hanya penyederhanaan kandungan tidak mencukupi. Ecosystem
Microsoft telah mengakui bahawa pengukuhan keselamatan platform memerlukan pendekatan yang pelbagai. Di luar sistem pengesanan yang didorong oleh AI, syarikat memberi tumpuan kepada peningkatan ketelusan di sekitar bagaimana kandungan berniat jahat dikenalpasti dan dikeluarkan. Meningkatkan kesedaran di kalangan komuniti pemaju tentang bagaimana isyarat amanah boleh dieksploitasi adalah sama pentingnya. Syarikat itu juga menganjurkan kerjasama yang lebih mendalam dengan penyelidik keselamatan dan ahli komuniti untuk meningkatkan kaedah pelaporan dan pengesanan insiden.
