Theo TechRadar, tội phạm mạng đã tìm ra cách tự động nhân bản các gói tin độc hại trên GitHub, tấn công nền tảng lưu trữ mã nguồn mở này bằng hàng triệu kho lưu trữ dự án (Repository) có khả năng đánh cắp thông tin nhạy cảm và cookie.
Các nhà nghiên cứu an ninh mạng Matan Giladi và Gil David đến từ Apiiro cho biết kể từ giữa năm 2023, tin tặc đã thực hiện một cuộc tấn công chiếm dụng tên miền (typosquatting) nhắm vào các nhà phát triển phần mềm trên quy mô lớn. Đầu tiên, chúng sao chép một kho lưu trữ đang có sẵn, có thể là một kho lưu trữ phổ biến trong giới lập trình viên (chẳng hạn như WhatsappBOT, discord-boost-too...) và tiêm nhiễm phần mềm độc hại vào đó.
GitHub bị tấn công bởi hàng triệu kho lưu trữ dự án (Repository) độc hại
TECH RADAR
Phần mềm độc hại này được ẩn giấu sau 7 lớp mã hóa, cài đặt một phiên bản đã được chỉnh sửa của BlackCap-Grabber - công cụ đánh cắp thông tin mã nguồn mở. BlackCap-Grabber sẽ đánh cắp cookie xác thực và thông tin đăng nhập từ nhiều ứng dụng khác nhau, rồi gửi chúng đến một máy chủ do kẻ tấn công kiểm soát. Ngoài ra, BlackCap-Grabber còn thực hiện rất nhiều hoạt động độc hại khác, các nhà nghiên cứu cho biết thêm.
Sau khi thiết lập phần mềm độc hại, kẻ tấn công sẽ tải nó lên lại GitHub với tên giống hệt kho lưu trữ thật, nhằm đánh lừa các nhà phát triển vô tình tải xuống phiên bản giả mạo. Sau đó, chúng sẽ tự động tạo hàng nghìn bản sao (fork) của kho lưu trữ này, dẫn đến hàng trăm nghìn kho lưu trữ độc hại xuất hiện trên nền tảng. Các nhà nghiên cứu cho biết cuộc tấn công đã ảnh hưởng đến hơn 100.000 kho lưu trữ trên GitHub, nhưng con số thực tế có thể lên đến hàng triệu.
Cuối cùng, kẻ tấn công sẽ quảng bá các gói độc hại trên web, trên các diễn đàn khác nhau, các kênh Discord... để dụ dỗ càng nhiều người tải xuống càng tốt. Đáng lo ngại là một số nhà phát triển thậm chí còn vô tình sao chép các phiên bản độc hại này, giúp kẻ tấn công mở rộng chiến dịch của chúng.
Được biết, GitHub có các phương thức để giải quyết vấn đề. Họ sử dụng trí tuệ nhân tạo để ngăn chặn phần lớn các gói sao chép trước khi chúng xuất hiện trên nền tảng. Tuy nhiên, có khoảng 1% trường hợp vẫn lọt qua được, tương đương với hàng nghìn kho lưu trữ độc hại.
Bình luận (0)