Gli sviluppatori si trovano di fronte a una grave minaccia per la sicurezza: oltre 100.000 repository su GitHub sono stati infettati con codice malevolo.
La recrudescenza di una campagna di confusione di repo maligni – rilevata dai ricercatori di sicurezza di Apiiro – ha colpito innumerevoli sviluppatori che utilizzano inconsapevolmente repository che ritengono affidabili ma che in realtà sono compromessi.
Simili agli attacchi di confusione delle dipendenze – che sfruttano i gestori di pacchetti – gli attacchi di confusione dei repository si basano sull’errore umano, inducendo gli sviluppatori a scaricare versioni dannose invece di quelle legittime.
I malintenzionati clonano i repository esistenti, li infettano con il malware, li caricano con nomi identici su GitHub e poi li biforcano automaticamente migliaia di volte, diffondendoli sul web attraverso forum e altri canali.
Una volta che gli sviluppatori utilizzano questi repository infetti, il payload nascosto scompone gli strati di offuscamento, eseguendo codice Python ed eseguibili binari dannosi. Questo codice modificato – spesso una versione di BlackCap-Grabber – raccoglie dati sensibili come le credenziali di accesso e le informazioni del browser, inviandoli al server di comando e controllo degli aggressori.
Mentre GitHub rimuove rapidamente la maggior parte dei repository biforcati, il rilevamento automatico non ne individua molti, permettendo a migliaia di persone di persistere.
Il processo di rimozione, che ha come obiettivo le bombe a forcella, avviene entro poche ore dal caricamento, rendendo difficile documentare la portata dell’attacco. L’enorme volume di repository coinvolti in questa campagna, unito alla loro automazione, rappresenta una sfida significativa per gli sforzi di rilevamento e mitigazione.
Questa campagna dannosa è iniziata nel maggio 2023 con la diffusione di pacchetti dannosi su PyPI e mette in evidenza una tendenza più ampia del malware che prende di mira le catene di fornitura del software. Con l’aumento dell’attenzione sui gestori di pacchetti, gli aggressori stanno spostando la loro attenzione sui gestori del controllo sorgente come GitHub.
