Sikkerhedsforskere har afsløret en GitHub-baseret malwarekampagne, der bruger falske repositories til at sprede skadelig kode, som stjæler adgangskoder. De ondsindede projekter fremstår legitime og opfordrer brugere til at downloade forskellige softwareværktøjer eller udviklerprogrammer. Når programmet installeres, begynder malwaren at indsamle følsomme oplysninger fra offerets system.
Kampagnen retter sig mod browseroplysninger, kryptotegnebøger og beskedtokens. Da filerne ligger på GitHub, antager mange brugere, at softwaren er troværdig. Forskere advarer dog om, at angrebet viser, hvor let trusselsaktører kan misbruge populære udviklerplatforme.
Falske GitHub-projekter spreder infostealer-malware
GitHub-kampagnen bygger på repositories, der efterligner ægte softwareprojekter. Angribere uploader kodepakker, som hævder at tilbyde nyttige værktøjer, automatiseringsløsninger eller scripts til udviklere.
Brugere, der downloader projektfilerne, modtager i virkeligheden en eksekverbar fil, der er forklædt som legitim software. Når filen køres, installeres malwaren lydløst på systemet.
Infostealeren begynder derefter at scanne enheden efter følsomme oplysninger. Den indsamler browseradgangskoder, autentificeringstokens og andre data, som angribere kan bruge til at få adgang til onlinekonti.
Da GitHub indeholder millioner af legitime projekter, stoler mange brugere på downloads fra platformen. Denne tillid gør det lettere for angribere at sprede malware uden at vække mistanke.
Browseradgangskoder og cookies er primære mål
Forskere fandt, at malwaren især fokuserer på legitimationsoplysninger, der er gemt i browsere. Mange browsere gemmer adgangskoder, sessionscookies og betalingsoplysninger for at gøre loginprocesser lettere.
Malwaren gennemsøger browserens lagring og udtrækker blandt andet:
- gemte loginoplysninger
- sessionscookies
- autofyld-data
- gemte kreditkortoplysninger
Flere Chromium-baserede browsere ligger inden for kampagnens målområde, herunder Chrome, Edge og Brave.
Sessionscookies udgør en særlig risiko, fordi de kan give angribere adgang til konti uden at kræve en adgangskode. Stjålne cookies kan omgå autentificeringssystemer og give direkte adgang til onlinetjenester.
Kryptotegnebøger og beskedkonti rammes også
GitHub-kampagnen retter sig også mod brugere af kryptovaluta. Malwaren scanner inficerede systemer for filer, der er knyttet til forskellige kryptotegnebøger.
Hvis wallet-data findes på enheden, forsøger malwaren at udtrække følsomme oplysninger. Angribere kan derefter bruge disse data til at få adgang til kryptomidler.
Forskere har også observeret forsøg på at stjæle autentificeringstokens fra beskedplatforme. Disse tokens kan gøre det muligt for angribere at kapre konti uden at udløse advarsler om adgangskodeændringer.
Dermed bliver kommunikationsplatforme også et mål, når malwaren først er aktiv.
Angribere udnytter tilliden til udviklerplatforme
GitHubs popularitet gør platformen attraktiv til distribution af malware. Udviklere downloader ofte værktøjer og open source-projekter direkte fra repositories.
Trusselsaktører udnytter denne adfærd ved at offentliggøre overbevisende projekter, der fremstår funktionelle og legitime. Repositories kan indeholde dokumentation, kildekode og projektbeskrivelser, der skaber tillid.
Brugere, der ikke kontrollerer et projekts ægthed, kan derfor installere malware uden at vide det. Når infostealeren først er installeret, arbejder den diskret i baggrunden og indsamler følsomme oplysninger.
Konklusion
GitHub-kampagnen viser, hvordan angribere fortsat udnytter betroede platforme til at sprede infostealer-malware. Ved at forklæde skadelige filer som legitime udviklerværktøjer kan trusselsaktører inficere systemer og indsamle værdifulde data.
Stjålne browseradgangskoder, kryptotegnebøger og beskedtokens giver angribere adgang til både finansielle konti og onlinetjenester. Kampagnen understreger vigtigheden af at kontrollere softwarekilder, før man downloader filer fra repositories.
Brugere bør gennemgå projekter nøje og undgå at køre eksekverbare filer fra ukendte udviklere. Disse forholdsregler kan i høj grad reducere risikoen for infektion fra ondsindede GitHub-repositories.
0 svar til “GitHub-kampagne med malware stjæler browseradgangskoder”