Хакеры научились использовать уведомления GitHub для распространения вредоносного ПО

Распространители вредоносного ПО начали применять новый способ отправки вредоносных писем от имени команды, занимающейся обеспечением безопасности в GitHub. Этот метод основан на использовании легитимных почтовых серверов платформы для отправки писем, маскирующихся под уведомления от команды безопасности. Нацелившись на разработчиков и сопровождающих проекты на платформе, злоумышленники пытаются внедрить вредоносное ПО в их системы.

Механизм атаки начинается с того, что хакеры создают сообщение в разделе issues атакуемого проекта на GitHub, добавляя текст, стилизованный под сообщение от Github Security Team. Сразу после создания сообщение удаляется, но уведомление о нём автоматически отправляется разработчику проекта по электронной почте. Эти уведомления выглядят так же, как официальные сообщения GitHub, что делает их особенно опасными.

В тексте письма предлагается перейти на поддельный сайт для получения дополнительной информации. На этом сайте пользователю предлагают пройти проверку, якобы подтверждающую, что он не робот, с просьбой нажать сочетания клавиш для выполнения определенной команды на его системе. При выполнении этих действий загружается и запускается вредоносное ПО под названием LUMMASTEALER, которое крадёт конфиденциальные данные пользователей — такие как ключи доступа, криптовалютные кошельки, пароли и сессионные данные из браузеров.

GitHub-уведомления играют ключевую роль в этой атаке. Из-за того, что сообщения приходят с реальных серверов, они успешно обходят многие системы проверки на фишинг. Злоумышленники манипулируют содержимым писем, чтобы создать иллюзию официального запроса, что заставляет многих разработчиков следовать инструкциям и случайно заражать свои системы.

Проблема также кроется в том, как GitHub формирует свои уведомления. В письмах недостаточно информации, чтобы дать получателям чёткое представление о том, что именно происходит. Это позволяет хакерам установить собственный контекст для сообщения, что существенно усложняет распознавание фишинга. GitHub уже получил отчёты об этом методе атаки, и существуют предложения по улучшению их системы уведомлений, чтобы снизить вероятность подобных инцидентов.

Вторая часть атаки включает поддельный сайт с проверкой капчи. Вместо привычного выбора изображений или выполнения других стандартных задач, пользователю предлагают выполнить команду через окно Windows Run, что в конечном итоге запускает вредоносный софт. Это ПО скачивает файл, маскирующийся под системное приложение, которое затем запускается на компьютере жертвы.