20 September 2024

Хакеры научились использовать уведомления GitHub для распространения вредоносного ПО

НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН, РАСПРОСТРАНЕН И (ИЛИ) НАПРАВЛЕН ИНОСТРАННЫМ АГЕНТОМ «РОСКОМСВОБОДА» ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА «РОСКОМСВОБОДА». 18+
С помощью легитимных уведомлений они распространяют вредоносное ПО, манипулируя разработчиками. Уведомления выглядят правдоподобно, что делает их особо опасными.
Фото: коллаж «Роскомсвобода» / Soumil Kumar — Pexels / Canva

Распространители вредоносного ПО начали применять новый способ отправки вредоносных писем от имени команды, занимающейся обеспечением безопасности в GitHub. Этот метод основан на использовании легитимных почтовых серверов платформы для отправки писем, маскирующихся под уведомления от команды безопасности. Нацелившись на разработчиков и сопровождающих проекты на платформе, злоумышленники пытаются внедрить вредоносное ПО в их системы.

Механизм атаки начинается с того, что хакеры создают сообщение в разделе issues атакуемого проекта на GitHub, добавляя текст, стилизованный под сообщение от Github Security Team. Сразу после создания сообщение удаляется, но уведомление о нём автоматически отправляется разработчику проекта по электронной почте. Эти уведомления выглядят так же, как официальные сообщения GitHub, что делает их особенно опасными.

В тексте письма предлагается перейти на поддельный сайт для получения дополнительной информации. На этом сайте пользователю предлагают пройти проверку, якобы подтверждающую, что он не робот, с просьбой нажать сочетания клавиш для выполнения определенной команды на его системе. При выполнении этих действий загружается и запускается вредоносное ПО под названием LUMMASTEALER, которое крадёт конфиденциальные данные пользователей — такие как ключи доступа, криптовалютные кошельки, пароли и сессионные данные из браузеров.

GitHub-уведомления играют ключевую роль в этой атаке. Из-за того, что сообщения приходят с реальных серверов, они успешно обходят многие системы проверки на фишинг. Злоумышленники манипулируют содержимым писем, чтобы создать иллюзию официального запроса, что заставляет многих разработчиков следовать инструкциям и случайно заражать свои системы.

Проблема также кроется в том, как GitHub формирует свои уведомления. В письмах недостаточно информации, чтобы дать получателям чёткое представление о том, что именно происходит. Это позволяет хакерам установить собственный контекст для сообщения, что существенно усложняет распознавание фишинга. GitHub уже получил отчёты об этом методе атаки, и существуют предложения по улучшению их системы уведомлений, чтобы снизить вероятность подобных инцидентов.

Вторая часть атаки включает поддельный сайт с проверкой капчи. Вместо привычного выбора изображений или выполнения других стандартных задач, пользователю предлагают выполнить команду через окно Windows Run, что в конечном итоге запускает вредоносный софт. Это ПО скачивает файл, маскирующийся под системное приложение, которое затем запускается на компьютере жертвы.

Contacts

For general questions

[email protected]

For legal questions

[email protected]

Contacts for media:

Telegram: moi_fee
Signal: moi_fee.13

18+

On December 23, 2022, the Ministry of Justice included Roskomsvoboda in the register of unregistered public associations performing the functions of a foreign agent. We disagree with this decision and are appealing it in court.