Исследование: на GitHub сейчас более 100 тыс. заражённых репозиториев, мимикрирующих под популярные проекты

Исследователи компании Apiiro рассказали, что сейчас на GitHub существует более 100 тыс. заражённых репозиториев, которые мимикрируют под реальные проекты. С помощью них хакеры получают с компьютера жертвы учётные данные. Количество таких репозиториев продолжает расти.

Эксперты из Apiiro обратили внимание на частую хакерскую атаку с подменой названий. Для неё злоумышленники создают репозиторий, идентичный популярному проекту на GitHub, с максимально похожим названием. Хакеры рассчитывают, что пользователь сделает опечатку во время ввода названия и загрузит на свою машину заражённый код. Этот тип атаки часто применяется в менеджерах пакетов, ведь взаимодействие с ними обычно происходит через командную строку. В ней у пользователя меньше шансов своевременно заметить свою ошибку.

Выяснилось, что такие атаки не менее популярны и для GitHub. Для их осуществления злоумышленники сначала клонируют популярный репозиторий и снабжают его сторонними загрузчиками и вредоносным кодом. После этого репозиторий под исходным названием публикуется на платформе. Далее хакеры начинают продвигать его на профильных форумах и в социальных сетях под видом оригинального. Весь процесс клонирования и повторной публикации автоматизирован, что позволяет ежедневно размещать на платформе множество опасных репозиториев.

Вредоносный код на компьютере жертве обычно начинает фоновую загрузку стороннего софта. В исследовании отмечается, что чаще всего злоумышленники используют BlackCap Grabber. Утилита похищает учётные данные, файлы cookie и другую конфиденциальную информацию, отправляя её на серверы злоумышленников.

У GitHub есть встроенная защита от fork-бомб, которая автоматически следит за тем, чтобы у репозиториев не появлялось слишком много копий за