Tehdit aktörleri artık GitHub’un arama işlevinden yararlanarak popüler depolar arayan şüphelenmeyen kullanıcıları, kötü amaçlı yazılım sunan sahte benzerlerini indirmeleri için kandırıyor.
Checkmarx, The Hacker News ile paylaştığı bir raporda, açık kaynaklı yazılım tedarik zincirine yönelik en son saldırının, uzak bir URL’den sonraki aşama yüklerini indirmek için tasarlanan Microsoft Visual Code proje dosyalarındaki kötü amaçlı kodu gizlemeyi içerdiğini söyledi.
Güvenlik araştırmacısı Yehuda Gelb, “Saldırganlar, arama sıralamalarını yükseltmek ve kullanıcıları yanıltmak için otomatik güncellemeler ve sahte yıldızlar gibi teknikleri kullanarak popüler adlar ve konularla kötü amaçlı depolar oluşturuyor” dedi.
Buradaki fikir, kullanıcılar sonuçlarını en son güncellemelere göre filtreleyip sıraladığında, tehdit aktörleri tarafından kontrol edilen depoları en üst sıraya çıkarmak ve sahte hesaplar aracılığıyla eklenen sahte yıldızlar aracılığıyla popülerliği artırmak için GitHub’daki arama sıralamalarını manipüle etmektir.
Bunu yaparken saldırı, sahte depolara bir meşruiyet ve güven cilası katarak geliştiricileri onları indirme konusunda etkili bir şekilde aldatıyor.
“Saldırganların depolarına yüzlerce veya binlerce yıldız ekledikleri geçmiş olayların aksine, bu vakalarda saldırganların muhtemelen abartılı bir sayıyla şüphe uyandırmamak için daha mütevazı sayıda yıldız tercih ettiği görülüyor.” Gelb dedi.
Checkmarx’ın önceki araştırmasının, yıldız enflasyonu olarak adlandırılan bir teknikle, bir havuzun popülerliğini yapay olarak artırmak için GitHub yıldızları satan çevrimiçi mağazalardan ve sohbet gruplarından oluşan bir karaborsayı ortaya çıkardığını belirtmekte fayda var.
Dahası, bu depoların büyük bir kısmı popüler oyunlar, hileler ve araçlarla ilgili meşru projeler olarak gizleniyor ve bunların zararsız kodlardan ayırt edilmesini zorlaştıracak başka bir karmaşıklık katmanı ekleniyor.
Bazı depoların, muhtemelen antivirüs taramasını atlatmak ve sonuçta Keyzetsu kesme aracıyla benzerlikleri paylaşan kötü amaçlı yazılımları başlatmak amacıyla 750 MB’a şişirilmiş “feedbackAPI.exe” adlı yürütülebilir dosyayı içeren şifrelenmiş bir .7z dosyasını indirdiği gözlemlendi.
Geçen yılın başlarında ortaya çıkan Windows kötü amaçlı yazılımı genellikle Evernote gibi korsan yazılımlar aracılığıyla dağıtılıyor. Panoya kopyalanan cüzdan adresini değiştirerek kripto para birimi işlemlerini saldırganın sahip olduğu cüzdanlara yönlendirebilir.
Bulgular, geliştiricilerin açık kaynak kod depolarından kaynak kodu indirirken takip etmesi gereken titizliğin altını çiziyor; güvenilirliği değerlendirmek için bir ölçüt olarak yalnızca itibara güvenmenin tehlikelerinden bahsetmiyoruz bile.
Gelb, “Kötü amaçlı GitHub depolarının kötü amaçlı yazılım dağıtmak için kullanılması, açık kaynak ekosistemi için önemli bir tehdit oluşturan devam eden bir eğilimdir” dedi.
“Saldırganlar, GitHub’ın arama işlevselliğini kullanarak ve depo özelliklerini değiştirerek, şüphelenmeyen kullanıcıları kötü amaçlı kod indirmeye ve çalıştırmaya yönlendirebilir.”
Gelişme, Phylum’un, Çay protokolünü kötüye kullanan “devasa bir otomatik kripto çiftçiliği kampanyası” düzenlemek amacıyla ylmin adlı bir kullanıcı tarafından npm kayıt defterine yayınlanan spam (yani kötü amaçlı olmayan) paketlerin sayısında bir artış keşfettiğini söylemesiyle ortaya çıktı.
Şirketin araştırma ekibi, “Tea protokolü, belirtilen hedefi açık kaynak paket koruyucularına tazminat vermek olan bir web3 platformudur, ancak nakit ödüller yerine bir kripto para birimi olan TEA tokenleri ile ödüllendirilirler” dedi.
“Çay protokolü henüz yayında bile değil. Bu kullanıcılar, görünüşe göre Test ağında daha fazla puana sahip olmanın daha sonraki bir airdrop alma şanslarını artıracağı beklentisiyle ‘Teşvik Edilmiş Test Ağı’ndan puan topluyor.”