Một loạt các kho lưu trữ GitHub độc hại giả mạo các dự án nghiên cứu bảo mật hợp pháp đã được phát hiện.
Nhà nghiên cứu Jacob Baines của VulnCheck đã chia sẻ những phát hiện này trong một tư vấn mới được công bố hôm nay, nói rằng các kho lưu trữ tuyên bố chứa các lỗ hổng cho các sản phẩm nổi tiếng như Chrome, Exchange và Discord.
“Vào đầu tháng 5, VulnCheck đã bắt gặp một kho lưu trữ GitHub độc hại được cho là Signal 0-day. Nhóm nghiên cứu đã báo cáo kho lưu trữ cho GitHub và nó đã nhanh chóng bị gỡ xuống. Kịch bản tương tự tiếp tục trong suốt tháng 5”.
Theo chuyên gia bảo mật, thủ phạm đã cố gắng hết sức để làm cho hồ sơ của họ xuất hiện chân thực bằng cách tạo ra một mạng lưới các tài khoản và hồ sơ Twitter, thậm chí sử dụng ảnh chụp đầu của các nhà nghiên cứu bảo mật hợp pháp.
Các kho lưu trữ theo một mô hình tương tự, thu hút người dùng bằng những lời hứa về các lỗ hổng zero-day. Khi kiểm tra kỹ hơn, người ta phát hiện ra rằng mã trong các kho lưu trữ này có chứa cấy ghép độc hại.
Các kho lưu trữ bao gồm các tập lệnh Python sẽ tải xuống và thực thi các tệp nhị phân có hại dựa trên hệ điều hành của nạn nhân. Nhị phân Windows được báo cáo có tỷ lệ phát hiện cao trên VirusTotal, trong khi nhị phân Linux kín đáo hơn nhưng vẫn chứa các chuỗi có thể nhận dạng được.
Baines cho biết động cơ đằng sau các cuộc tấn công này vẫn chưa rõ ràng, nhưng đó là bằng chứng cho thấy các nhà nghiên cứu bảo mật là mục tiêu chính của các tác nhân độc hại.
“Các nhà nghiên cứu bảo mật nên hiểu rằng chúng là mục tiêu hữu ích cho các tác nhân độc hại và nên cẩn thận khi tải xuống mã từ GitHub. Luôn luôn xem lại mã bạn đang thực thi và không sử dụng bất cứ điều gì bạn không hiểu”, Baines kết luận.
Trong bối cảnh ngày càng nguy hiểm, việc khai thác kho lưu trữ GitHub ngày càng tăng bởi các tác nhân độc hại làm nổi bật mối đe dọa ngày càng tăng và sự cần thiết phải tăng cường các biện pháp bảo mật.
