ينشر مجرمو الإنترنت تقنية جديدة للتلاعب بالمطورين باستخدام جيثب وخداعهم لتنزيل برامج ضارة، وفقًا للباحثين في Checkmarx، الذين حذروا اليوم من زيادة محتملة في هجمات سلسلة التوريد مفتوحة المصدر نتيجة لذلك.
في الحملة، تم اكتشاف جهة تهديد غير معلنة تتلاعب بوظيفة البحث في GitHub عن طريق إنشاء مستودعات ضارة بأسماء وموضوعات شائعة، واستخدام التحديثات الآلية والنجوم المزيفة لتعزيز تصنيفات البحث على المنصة.
وفقًا لمهندس الأبحاث في Checkmarx، يهودا جيلب، قام الممثل بإخفاء تعليمات برمجية ضارة داخل المستودعات الموجودة داخل csproj. وvcxproj. الملفات، والتي تعد عناصر مهمة في إنشاء مشروع Visual Studio، والتي يتم تنفيذها تلقائيًا عند إنشاء المشروع. قام المهاجم أيضًا بتعديل الحمولة بناءً على أصل الضحية، والتحقق على وجه التحديد لمعرفة ما إذا كانت موجودة في روسيا، على الرغم من أنه لا يبدو أن هذه القدرة قد تم تشغيلها بعد.
يشترك الملف القابل للتنفيذ نفسه في أوجه التشابه مع برنامج ضار يسمى Keyzetsu clipper، والذي يستهدف محافظ العملات المشفرة، ويثبت استمراريته على أجهزة Windows المصابة من خلال إنشاء مهمة مجدولة تقوم بتشغيل البرنامج الضار يوميًا في الساعة 4 صباحًا بالتوقيت المحلي، دون تدخل المستخدم.
كتب جيلب: “يجب على المطورين توخي الحذر عند استخدام التعليمات البرمجية من المستودعات العامة ومراقبة خصائص المستودع المشبوهة، مثل ترددات الالتزام العالية ومراقبي النجوم الذين لديهم حسابات تم إنشاؤها مؤخرًا”.
البحث السامة
تتميز الحملة التي اكتشفها Gelb بشكل خاص باستغلالها المخادع لميزات البحث المشروعة داخل GitHub. من الواضح أن جهة التهديد تتمتع بمعرفة متقدمة بتقنيات تحسين البحث وتستخدم الأسماء والموضوعات التي من المحتمل أن يبحث عنها المستخدمون، وتخفيها على أنها مشاريع مشروعة غالبًا ما تتعلق بألعاب شائعة أو غش أو أدوات أخرى.
من خلال استغلال إجراءات GitHub، فإنها تتسبب بعد ذلك في تحديث المستودعات تلقائيًا بتردد مرتفع بشكل غير عادي – ويتم ذلك عن طريق إجراء تعديل سريع على ملف سجل بتاريخ أو وقت محدث، أو بعض التغييرات الصغيرة الأخرى. يعمل هذا النشاط على تعزيز رؤية المستودع بشكل مستمر.
يقوم المهاجم أيضًا بتضخيم فعالية مستودعه الخبيث من خلال استخدام عدة حسابات GitHub لدمى الجوارب لتعزيز بشكل مصطنع تصنيفات النجوم للمستودع الخبيث، مما يعزز ظهورها بشكل أكبر، خاصة في الحالات التي يقوم فيها المستخدمون بتصفية النتائج حسب التقييمات.
هذه ليست تقنية جديدة على الإطلاق، بل لقد تم استخدامها على نطاق واسع في الماضي. ومع ذلك، في الحوادث الماضية حيث تلاعب المهاجمون بتقييمات النجوم، كانوا يميلون إلى إضافة مئات أو آلاف التقييمات الزائفة إلى عمليات إعادة الشراء الخاصة بهم – في هذه الحالة يبدو أنهم يختارون المزيد من الواقعية لتجنب إثارة الكثير من الدهشة.
وأشار جيلب أيضًا إلى أنه تم إنشاء العديد من مراقبي النجوم في الدمى الجوربية في نفس التاريخ، وهو مؤشر محتمل على وجود نشاط مشبوه.
تم تحديث الكود الخبيث نفسه مؤخرًا في 3 أبريل 2024 للتوجيه إلى عنوان URL جديد لتنزيل ملف .7z مختلف ومشفر يحتوي على ملف قابل للتنفيذ يسمى FeedAPI.exe، لذا من الواضح أن الحملة لا تزال نشطة.
والجدير بالذكر أن الملف القابل للتنفيذ الجديد تمت حشوه بأصفار متعددة في محاولة لزيادة حجم الملف بشكل مصطنع وتجاوز عتبة الماسحات الضوئية، مثل VirusTotal، الذي يمكنه قبول ملفات يصل حجمها إلى 650 ميجابايت فقط – يبلغ حجم ملف ردود الفعل API.exe 750 ميجابايت .
وقال جيلب إن هناك أدلة كافية للكشف عن أن الحملة قد خدعت الكثير من الأشخاص بنجاح، وأن عددًا من المستودعات الضارة تلقت شكاوى من المستخدمين الذين تم خداعهم لتنزيل الكود المراوغ.
كتب جيلب: “يعد استخدام مستودعات GitHub الضارة لتوزيع البرامج الضارة اتجاهًا مستمرًا يشكل تهديدًا كبيرًا للنظام البيئي مفتوح المصدر”. “من خلال استغلال وظيفة البحث في GitHub ومعالجة خصائص المستودع، يمكن للمهاجمين جذب المستخدمين المطمئنين إلى تنزيل تعليمات برمجية ضارة وتنفيذها.”
نصح جيلب مستخدمي GitHub بأن يكونوا على دراية ببعض العلامات الحمراء التي تشير إلى أن حملة من هذا النوع قد تكون مستمرة، بما في ذلك المستودعات التي تحتوي على عدد “غير عادي” من الالتزامات مقارنة بعمرها، ومراقبي النجوم الذين يظهرون سلوكًا يشبه دمية الجوارب.
وقال إنه في أعقاب الهجوم الأخير في مكتبة ضغط البيانات XZ Utils، حيث يبدو أن جهة فاعلة ضارة قضت سنوات في كسب ثقة المشرف على مشروع مفتوح المصدر وارتكبت العديد من التحديثات المفيدة قبل محاولة التسلل إلى باب خلفي، سيكون من غير الحكمة، إن لم يكن غير مسؤول تمامًا، لأي مطور أن يعتمد على السمعة مقياس عند استخدام التعليمات البرمجية مفتوحة المصدر.
“المطور الذي يأخذ التعليمات البرمجية بشكل أعمى يتحمل أيضًا مسؤولية هذا الرمز بشكل أعمى. تسلط هذه الحوادث الضوء على ضرورة إجراء مراجعات يدوية للكود أو استخدام أدوات متخصصة لإجراء عمليات فحص شاملة للكود بحثًا عن البرامج الضارة. وحذر من أن مجرد التحقق من نقاط الضعف المعروفة ليس كافيا.
المنشور البحثي الكامل، بما في ذلك مؤشرات التسوية (IoCs)، هو متاح من Checkmarx.
