Sikkerhetsforskere har avdekket en GitHub-basert malwarekampanje som bruker falske repositories til å spre skadevare som stjeler passord. De ondsinnede prosjektene fremstår som legitime og oppfordrer brukere til å laste ned ulike programverktøy eller utviklerverktøy. Når programmet installeres, begynner skadevaren å samle inn sensitiv informasjon fra offerets system.
Kampanjen retter seg mot nettleserlegitimasjon, kryptolommebøker og meldings-tokens. Siden filene ligger på GitHub, antar mange brukere at programvaren er trygg. Forskere advarer imidlertid om at angrepet viser hvor enkelt trusselaktører kan misbruke populære utviklerplattformer.
Falske GitHub-prosjekter sprer infostealer-malware
GitHub-kampanjen bygger på repositories som etterligner ekte programvareprosjekter. Angripere laster opp kodepakker som hevder å tilby nyttige verktøy, automatiseringsløsninger eller skript for utviklere.
Brukere som laster ned prosjektfilene, mottar i realiteten en kjørbar fil som er forkledd som legitim programvare. Når filen kjøres, installeres skadevaren stille på systemet.
Infostealeren begynner deretter å skanne enheten etter sensitiv informasjon. Den samler inn nettleserpassord, autentiseringstokens og andre data som angripere kan bruke til å få tilgang til nettkontoer.
Siden GitHub inneholder millioner av legitime prosjekter, stoler mange brukere på nedlastinger fra plattformen. Denne tilliten gjør det lettere for angripere å spre malware uten å vekke mistanke.
Nettleserpassord og cookies er hovedmål
Forskere fant at skadevaren særlig fokuserer på legitimasjon lagret i nettlesere. Mange nettlesere lagrer passord, øktcookies og betalingsinformasjon for å gjøre innlogging enklere.
Skadevaren søker gjennom nettleserlagring og henter blant annet ut:
- lagrede innloggingsopplysninger
- øktcookies
- autofyll-data
- lagrede kredittkortopplysninger
Flere Chromium-baserte nettlesere ligger innenfor kampanjens målområde, blant annet Chrome, Edge og Brave.
Øktcookies utgjør en stor risiko fordi de kan gi angripere tilgang til kontoer uten at passord må oppgis. Stjålne cookies kan omgå autentiseringssystemer og gi direkte tilgang til nettjenester.
Kryptolommebøker og meldingskontoer er også mål
GitHub-kampanjen retter seg også mot brukere av kryptovaluta. Skadevaren skanner infiserte systemer etter filer knyttet til ulike kryptolommebøker.
Hvis lommebokdata finnes på enheten, forsøker skadevaren å hente ut sensitiv informasjon. Angripere kan deretter bruke opplysningene til å få tilgang til kryptomidler.
Forskere har også observert forsøk på å stjele autentiseringstokens fra meldingsplattformer. Disse tokenene kan gjøre det mulig for angripere å kapre kontoer uten å utløse varsler om passordendring.
Dermed blir også kommunikasjonsplattformer et mål når skadevaren først er aktiv.
Angripere utnytter tilliten til utviklerplattformer
GitHubs popularitet gjør plattformen attraktiv for distribusjon av malware. Utviklere laster ofte ned verktøy og åpen kildekode direkte fra repositories.
Trusselaktører utnytter denne praksisen ved å publisere overbevisende prosjekter som fremstår som legitime og funksjonelle. Repositories kan inneholde dokumentasjon, kildekode og prosjektbeskrivelser som bygger tillit.
Brukere som ikke kontrollerer om et prosjekt er ekte, kan derfor installere malware uten å vite det. Når infostealeren først er installert, arbeider den stille i bakgrunnen og samler inn sensitiv informasjon.
Konklusjon
GitHub-kampanjen viser hvordan angripere fortsatt utnytter betrodde plattformer for å spre infostealer-malware. Ved å skjule skadelige filer som legitime utviklerverktøy kan trusselaktører infisere systemer og samle inn verdifulle data.
Stjålne nettleserpassord, kryptolommebøker og meldings-tokens gir angripere tilgang til både finansielle kontoer og nettjenester. Kampanjen understreker hvor viktig det er å kontrollere kilden til programvare før man laster ned filer fra repositories.
Brukere bør undersøke prosjekter nøye og unngå å kjøre kjørbare filer fra ukjente utviklere. Slike forholdsregler kan redusere risikoen for infeksjon fra ondsinnede GitHub-prosjekter betydelig.
0 svar til “GitHub-kampanje med skadevare stjeler nettleserpassord”