Według Microsoft Microsoft.
Atakerzy przekierowało użytkowników z nielegalnych stron internetowych strumieniowych na złośliwe repozytoria GitHub, która niewłaściwie wykorzystywała Github jako platformę dystrybucyjną jako platformę dystrybucji.
Kampania, która rozpoczęła się w grudniu 2024 r., Działała od narażenia odwiedzających na nielegalne platformy strumieniowe na zwodnicze s.
Te złośliwe użytkowniki przez wielokrotne intermentary przed lądowanie ich na repozytoriach GitHub hostujących niebezpieczne pliki. Wykorzystując zaufany status Githuba, napastnicy zwiększyli prawdopodobieństwo, że ofiary pobierają i wykonują złośliwe oprogramowanie.
Według Microsoft, początkowe ładownięcia wywołały wieloetapowe łańcuch ataków z rozpoznawaniem systemu, zbieranie danych i wdrażanie dodatkowych rodzajów złośliwych, takich jak produkty złośliwego, takiego, takiego jak zbiory, zostały zaprojektowane z nich dodatkowe typy oprogramowania. Wrażliwe informacje, w tym poświadczenia logowania, pliki cookie i przechowywane hasła.
Kampania wpłynęła na prawie milion urządzeń na całym świecie, z zagrożonymi systemami, od poszczególnych urządzeń konsumenckich po sieci organizacyjne. Głównym celem złośliwego oprogramowania była kradzież danych, stanowiąc poważne ryzyko dla prywatności użytkowników i bezpieczeństwa organizacyjnego.
Microsoft zainicjował miary łagodzenia, ale rozległy zasięg ataku ilustruje wyzwania związane z zabezpieczeniem otwartych platform, takich jak GitHub, w których sygnały zaufania można manipulować w celu złośliwego zysku.
Training Security Challenge To kulminacja serii incydentów bezpieczeństwa ukierunkowanych na GitHub w ciągu ostatniego roku.
W marcu 2024 r. Atakujący naruszali ponad 100 000 repozytoriów, klonując uzasadnione projekty, wstrzykiwanie złośliwego oprogramowania i ponowne przesłanie ich jako rzeszy pod nazwami. Strategia ta utrudniała programistom rozróżnienie między uzasadnionymi i złośliwymi repozytoriami, zwiększając ryzyko niezamierzonej integracji złośliwego oprogramowania.
Do kwietnia 2024 r. Cyberprzestępcy zwrócili uwagę na funkcje komentarzy Githuba, osadzając złośliwe oprogramowanie w komentarzach. Linki te zostały zaprojektowane tak, aby przypominały uzasadnioną zawartość repozytorium, dodatkowo komplikując wykrywanie i usuwanie. Microsoft podjął działania w celu usunięcia złośliwych komentarzy, ale zauważył trudność w pełnej eliminowaniu tak wyrafinowanych taktyk.
W lipcu 2024 r. Grupa zagrożenia Goblin Gobazer Stargazer eskalowała ataki poprzez przejęcie ponad 3000 kont github. Grupa zastosowała model dystrybucji jako usługi (DAAS), wykorzystując zwodnicze rachunki do dystrybucji złośliwego oprogramowania, takiego jak Redline, Lumma Crader i Rhadamanthys.
Ich taktyka obejmowała sztuczne zwiększenie wiarygodności złośliwych repozytoriów przez fałszywe gwiazdy i forki, utrudniając systemom bezpieczeństwa. 2024, kiedy opublikowali ponad 29 000 komentarzy zawierających linki obciążone złośliwym oprogramowaniem w ciągu trzech dni. Linki te doprowadziły do archiwów hostowanych na zewnętrznych platformach, takich jak MediaFire, z archiwami zawierającymi kradzieże informacji zaprojektowanych w celu wydobywania wrażliwych danych.
Dalsza manipulacja wskaźnikami powierniczej odkryto w grudniu 2024 r., Kiedy naukowcy odkryli ponad 4,5 miliona fałszywych gwiazd przypisanych do tysięcy repozytoriów. Te oszukańcze gwiazdy zawyżały wiarygodność złośliwych projektów, wprowadzając w błąd użytkowników i programistów do zaufania i pobierania naruszenia treści.
Microsoft Response Security Response Security
w celu rozwiązania tych eskalacji zagrożeń, Microsoft ma na celu udoskonalenie systemów detekcji AI-DECEKTED w celu identyfikacji i flagowania podejrzanego. Przedstawione w strategii bezpieczeństwa AI Microsoftu opiera się na uczeniu maszynowym w celu automatycznej oceny przesyłania i powiadomienia ludzkich recenzentów, gdy wykrywane są podejrzane wzorce.
Podczas gdy wysiłki te mają lepsze wskaźniki wykrywania, zwłaszcza, że najnowsze ataki wieloetapowe podkreślają bieżące ograniczenia.
Zautomatyzowane systemy mogą walczyć o to Wykrywanie.
Microsoft przyznaje, że wymagane są ciągłe ulepszenia i zachęcił programiści do aktywnego zgłaszania podejrzanego zachowania i przestrzegania surowych praktyk bezpieczeństwa repozytorium.
Wzmocnienie bezpieczeństwa dla programistów i użytkowników
Nadużywanie wskaźników powierniczych GitHub w tych kampaniach podkreśla krytyczną rolę wśród programistów i użytkowników. Deweloperzy są zachęcani do przeprowadzania regularnych audytów ich repozytoriów, monitorowania nieautoryzowanych zmian i weryfikacji autentyczności wkładów zewnętrznych.
Wdrożenie zautomatyzowanych narzędzi bezpieczeństwa i przyjmowanie rygorystycznych protokołów przeglądu może zminimalizować ryzyko kompromisu. Biorąc pod uwagę sposób, w jaki atakujący manipulowali sygnałami zaufania, takimi jak gwiazdy i widelce, ocena aktywności repozytorium poza wskaźnikami na poziomie powierzchni stała się niezbędna.
Dla użytkowników, szczególnie tych, którzy angażują się w projekty typu open source, weryfikacja zasadności pobierania jest kluczowa. Unikanie pobrań ze źródeł niezweryfikowanych lub podejrzanych, szczególnie gdy jest to wypowiedziane przez linki z platform takich jak nielegalne miejsca do przesyłania strumieniowego, jest fundamentalnym krokiem bezpieczeństwa.
Wykorzystanie środowisk piaskownicy do testowania nieznanego kodu i zapewnienia regularnych aktualizacji rozwiązań bezpieczeństwa może zmniejszyć podatność na zakażenia złośliwego oprogramowania. Microsoft zaleca również, aby użytkownicy obniżały się z resetowaniem haseł i monitorowali ich konta pod kątem dowolnego nieautoryzowanego dostępu, szczególnie jeśli ujawniono poufne informacje.
szersze wyzwanie zaufania na platformach typu open source
Skala i złożoność tej kampanii złośliwego odzwierciedlają szerokie wyzwanie dla otwartego eCosystes. Platformy takie jak Github, które opierają się na sygnałach zaufania w celu ułatwienia współpracy, są z natury podatne na wykorzystanie.
Manipulacja funkcjami, takimi jak gwiazdy repozytorium i komentarze-wyświetlane w incydentach, takie jak kampanie Fałszywe Gwiazdy z grudnia 2024 r.-pokazuje, jak te sygnały powiernicze mogą być wykorzystywane w celu udzielania legitomości złośliwych projektów. Forks i kampania Gubazer Goblin Stargazer pokazały, w jaki sposób aktorzy zagrożeni dostosowali ich taktykę. Wydarzenia te ujawniły, w jaki sposób atakujący wykorzystają cechy open source w celu promowania złośliwego oprogramowania, ukrywając złośliwe zamiary pozornie uzasadnionego wkładu.
Takie wzorce sugerują potrzebę dostosowania ich taktycznych mechanizmów bezpieczeństwa. Techniki takie jak fałszywe konta, manipulowanie wskaźnikami repozytorium i wykorzystanie otwartych zasad Github w celu dystrybucji złośliwego oprogramowania pokazują, że po prostu moderowanie treści jest niewystarczające.
Aktaluterzy aktywnie znajdują nowe sposoby ominięcia barier bezpieczeństwa, podkreślając potrzebę bardziej dynamicznych i adaptacyjnych systemów bezpieczeństwa. Ecosystem
Microsoft przyznał, że wzmocnienie bezpieczeństwa platformy wymaga wieloaspektowego podejścia. Oprócz udoskonalania systemów detekcji opartych na AI, firma koncentruje się na poprawie przejrzystości w zakresie identyfikacji i usunięcia złośliwej treści.
Zwiększenie wydajności systemów moderacji i wzmocnienie procesów, które flagą potencjalnie niebezpieczną aktywność są podstawą tych wysiłków.
Jednak same poprawki techniczne nie są wystarczające. Równie ważne jest zwiększenie świadomości społeczności deweloperów na temat tego, w jaki sposób można wykorzystywać sygnały zaufania.
Microsoft zachęca programistów do przyjmowania najlepszych praktyk bezpieczeństwa repozytorium, w tym dokładnej weryfikacji wkładu zewnętrznego i krytycznej analizy wskaźników popularności repozytorium. Firma opowiada się również za głębszą współpracą z badaczami bezpieczeństwa i członkami społeczności w celu zwiększenia metod raportowania i wykrywania incydentów.
