Säkerhetsforskare har upptäckt en malwarekampanj på GitHub som använder falska repositories för att sprida lösenordsstjälande skadlig kod. De skadliga projekten ser legitima ut och uppmuntrar användare att ladda ner olika programverktyg eller utvecklarverktyg. När programmet installeras börjar malwaren samla in känslig information från offrets system.
Kampanjen riktar in sig på webbläsaruppgifter, kryptoplånböcker och meddelandetokens. Eftersom filerna ligger på GitHub antar många användare att programvaran är pålitlig. Forskare varnar dock för att attacken visar hur enkelt angripare kan utnyttja populära plattformar för utvecklare.
Falska GitHub-projekt sprider infostealer-malware
GitHub-kampanjen bygger på repositories som efterliknar riktiga mjukvaruprojekt. Angripare laddar upp kodpaket som påstår sig erbjuda användbara verktyg, automatiseringslösningar eller skript för utvecklare.
Användare som laddar ner projektfilerna får i själva verket en körbar fil som är maskerad som legitim programvara. När filen körs installeras malwaren tyst i systemet.
Infostealern börjar sedan skanna enheten efter känslig information. Den samlar in webbläsarlösenord, autentiseringstokens och annan data som angripare kan använda för att få åtkomst till onlinekonton.
Eftersom GitHub innehåller miljontals legitima projekt litar många användare på nedladdningar från plattformen. Den tilliten gör det lättare för angripare att sprida malware utan att väcka misstankar.
Webbläsarlösenord och cookies är primära mål
Forskare upptäckte att malwaren främst riktar in sig på inloggningsuppgifter som lagras i webbläsare. Många webbläsare sparar lösenord, sessionscookies och betalningsinformation för att göra inloggningar enklare.
Malwaren söker igenom webbläsarens lagring och extraherar bland annat:
- sparade inloggningsuppgifter
- sessionscookies
- autofyllningsdata
- lagrade kreditkortsuppgifter
Flera Chromium-baserade webbläsare ligger inom kampanjens målområde, bland annat Chrome, Edge och Brave.
Sessionscookies utgör en särskilt stor risk eftersom de kan ge angripare åtkomst till konton utan att ett lösenord behöver anges. Stulna cookies kan kringgå autentiseringssystem och ge direkt tillgång till onlinetjänster.
Kryptoplånböcker och meddelandekonton angrips också
GitHub-kampanjen riktar sig även mot användare av kryptovalutor. Malwaren söker igenom infekterade system efter filer kopplade till olika kryptoplånböcker.
Om plånboksdata finns på enheten försöker malwaren extrahera känslig information. Angripare kan därefter använda dessa uppgifter för att få åtkomst till kryptotillgångar.
Forskare har också sett försök att stjäla autentiseringstokens från meddelandeplattformar. Dessa tokens kan göra det möjligt för angripare att kapa konton utan att utlösa varningar om lösenordsåterställning.
När malwaren väl är aktiv blir därför även kommunikationsplattformar ett mål.
Angripare utnyttjar förtroendet för utvecklarplattformar
GitHubs popularitet gör plattformen attraktiv för distribution av malware. Utvecklare laddar ofta ner verktyg och öppen källkod direkt från repositories.
Hotaktörer utnyttjar detta beteende genom att publicera övertygande projekt som ser funktionella och legitima ut. Repositories kan innehålla dokumentation, källkod och projektdetaljer som skapar förtroende.
Användare som inte kontrollerar ett projekts äkthet kan därför installera malware utan att veta om det. När infostealern väl har installerats arbetar den diskret i bakgrunden och samlar in känslig information.
Slutsats
GitHub-kampanjen visar hur angripare fortsätter att utnyttja betrodda plattformar för att sprida infostealer-malware. Genom att maskera skadliga filer som legitima utvecklarverktyg kan hotaktörer infektera system och samla in värdefull data.
Stulna webbläsarlösenord, kryptoplånböcker och meddelandetokens ger angripare tillgång till både finansiella konton och onlinetjänster. Kampanjen understryker vikten av att kontrollera programvarans källa innan filer laddas ner från repositories.
Användare bör granska projekt noggrant och undvika att köra körbara filer från okända utvecklare. Dessa försiktighetsåtgärder kan kraftigt minska risken för infektion från skadliga GitHub-projekt.
0 svar till ”GitHub-kampanj med malware stjäl webbläsarlösenord”