Pothuajse një milion pajisje janë kompromentuar në një fushatë globale të malware që keqpërdorin GitHub si një platformë shpërndarjeje, sipas Microsoft.
Fushata, e cila filloi në dhjetor 2024, e operuar duke ekspozuar vizitorët në platforma të paligjshme të transmetimit në mashtrime s. Faqet para se t’i ulni ato në depot e GitHub-it duke pritur skedarë të rrezikshëm. Duke shfrytëzuar statusin e besuar të GitHub, sulmuesit rritën gjasat që viktimat të shkarkonin dhe ekzekutojnë malware. Informacioni, përfshirë kredencialet e hyrjes, cookies dhe fjalëkalimet e ruajtura. Objektivi kryesor i malware ishte vjedhja e të dhënave, duke paraqitur rreziqe serioze për intimitetin e përdoruesit dhe sigurinë organizative. Kulminimi i një seri incidentesh të sigurisë që synojnë GitHub gjatë vitit të kaluar. Kjo strategji e bëri të vështirë për zhvilluesit të bëjnë dallimin midis depove të ligjshme dhe me qëllim të keq, duke rritur rrezikun e integrimit të paqëllimtë të malware. Këto lidhje u krijuan për të ngjasuar me përmbajtjen legjitime të depove, duke komplikuar më tej zbulimin dhe heqjen. Microsoft ndërmori veprime për të hequr komentet me qëllim të keq, por vuri në dukje vështirësinë e zhdukjes së plotë të taktikave të tilla të sofistikuara. Grupi përdori një model shpërndarës-si-a-shërbimi (DAAS), duke përdorur llogari mashtruese për shpërndarjen e malware si redline, lumma vjedhës, dhe Rhadamanthys. Shtator 2024, kur ata postuan mbi 29,000 komente që përmbajnë lidhje të ngarkuara me malware brenda tre ditëve. Këto lidhje çuan në arkivat e pritura në platforma të jashtme si MediaFire, me arkivat që përmbajnë vjedhës të informacionit të dizajnuar për të nxjerrë të dhëna të ndjeshme. Këta yje mashtrues e fryheshin besueshmërinë e projekteve me qëllim të keq, duke mashtruar përdoruesit dhe zhvilluesit në besimin dhe shkarkimin e përmbajtjes së kompromentuar. Në strategjinë e sigurisë së AI të Microsoft, mbështetet në mësimin e makinerisë për të vlerësuar automatikisht ngarkimet dhe për të paralajmëruar rishikuesit e njeriut kur zbulohen modele të dyshimta. zbulimi. Zhvilluesit inkurajohen të kryejnë auditime të rregullta të depove të tyre, monitorimin për ndryshime të paautorizuara dhe verifikimin e origjinalitetit të kontributeve të jashtme. Duke pasur parasysh se si sulmuesit manipuluan sinjalet e besimit si yjet dhe pirunët, vlerësimi i aktivitetit të depo përtej metrikës së nivelit sipërfaqësor është bërë thelbësore. Shmangia e shkarkimeve nga burime të pa verifikuara ose të dyshimta, veçanërisht kur kërkohen nga lidhje nga platforma si faqet e transmetimit të paligjshëm, është një hap themelor i sigurisë. Microsoft gjithashtu rekomandon që përdoruesit e kompromentuar të rivendosin fjalëkalimet dhe të monitorojnë llogaritë e tyre për çdo qasje të paautorizuar, veçanërisht nëse informacioni i ndjeshëm është ekspozuar. Platformat si Github, të cilat mbështeten në sinjalet e besimit për të lehtësuar bashkëpunimin, janë në thelb të ndjeshme ndaj shfrytëzimit. Forks dhe fushata Stargazer Goblin, demonstruan se si aktorët e kërcënimit kanë përshtatur taktikat e tyre. Këto ngjarje zbuluan se si sulmuesit po shfrytëzojnë tiparet me burim të hapur për të promovuar malware-in e tyre, duke fshehur qëllimin me qëllim të keq pas kontributeve në dukje të ligjshme. Teknika të tilla si llogaritë e rreme për krijimin e masës, manipulimi i metrikës së depove, dhe shfrytëzimi i politikave të hapura të GitHub për të shpërndarë malware tregojnë se thjesht moderimi i përmbajtjes është i pamjaftueshëm. Ekosistemi
Microsoft ka pranuar se forcimi i sigurisë së platformës kërkon një qasje të shumëanshme. Përtej rafinimit të sistemeve të zbulimit të drejtuara nga AI, kompania është e përqendruar në përmirësimin e transparencës rreth asaj se si identifikohet dhe hiqet përmbajtja e keqe. Rritja e vetëdijes midis komunitetit të zhvilluesve për mënyrën sesi mund të shfrytëzohen sinjalet e besimit është po aq e rëndësishme. Kompania gjithashtu mbron për bashkëpunim më të thellë me studiuesit e sigurisë dhe anëtarët e komunitetit për të përmirësuar metodat e raportimit dhe zbulimit të incidenteve.