Checkmarx’taki araştırmacılara göre siber suçlular, geliştiricileri GitHub kullanarak manipüle etmek ve kötü amaçlı yazılım indirmeleri için kandırmak için yeni bir teknik kullanıyor ve bunun sonucunda açık kaynak tedarik zinciri saldırılarında potansiyel bir artış olabileceği konusunda bugün uyarıda bulunuyorlar.
Kampanyada, adı açıklanmayan bir tehdit aktörünün, popüler adlar ve konular içeren kötü amaçlı depolar oluşturarak ve platformdaki arama sıralamalarını yükseltmek için otomatik güncellemeler ve sahte yıldızlar kullanarak GitHub’un arama işlevini manipüle ettiği keşfedildi.
Checkmarx araştırma mühendisi Yehuda Gelb’e göre aktör, csproj’un içindeki depolarda kötü amaçlı kod sakladı. ve vcxproj. Visual Studio proje derlemelerinin önemli öğeleri olan ve proje oluşturulduğunda otomatik olarak yürütülen dosyalar. Saldırgan ayrıca kurbanın kökenine göre veri yükünü de değiştirdi ve özellikle kurbanın Rusya’da bulunup bulunmadığını kontrol etti, ancak bu özellik henüz etkinleştirilmemiş gibi görünüyor.
Yürütülebilir dosyanın kendisi, Keyzetsu Clipper adı verilen, kripto para birimi cüzdanlarını hedef alan ve kötü amaçlı yazılımı günlük olarak yerel saatle sabah 4’te çalıştıran zamanlanmış bir görev oluşturarak, kullanıcı müdahalesi olmadan virüs bulaşmış Windows makinelerinde kalıcılık sağlayan bir kötü amaçlı yazılımla benzerlikler paylaşıyor.
Gelb, “Geliştiriciler genel depolardaki kodları kullanırken dikkatli olmalı ve yüksek kayıt sıklıkları ve yakın zamanda oluşturulmuş hesaplara sahip hayalperestler gibi şüpheli depo özelliklerine dikkat etmelidir” diye yazdı.
Zehirli arama
Gelb tarafından keşfedilen kampanya, özellikle GitHub’daki meşru arama özelliklerinden sinsice faydalanmasıyla dikkat çekiyor. Tehdit aktörünün, arama optimizasyonu teknikleri konusunda ileri düzey bilgiye sahip olduğu ve kullanıcılar tarafından aranması muhtemel adları ve konuları kullandığı ve bunları genellikle popüler oyunlar, hileler veya diğer araçlarla ilgili meşru projelermiş gibi gizlediği açıktır.
GitHub Eylemlerinden yararlanarak, depoların alışılmadık derecede yüksek bir sıklıkta otomatik olarak güncellenmesine neden olurlar; bu, güncellenmiş bir tarih veya saatle bir günlük dosyasında hızlı bir değişiklik veya başka bir küçük değişiklik yapılarak yapılır. Bu etkinlik, havuzun görünürlüğünü sürekli olarak artırır.
Saldırgan ayrıca, kötü amaçlı veri deposunun yıldız derecelendirmelerini yapay olarak artırmak için birden fazla sockpuppet GitHub hesabı kullanarak, özellikle kullanıcıların sonuçları derecelendirmelere göre filtrelediği durumlarda görünürlüğünü daha da artırarak, kötü amaçlı veri deposunun etkinliğini artırır.
Bu kesinlikle yeni bir teknik değil, aslında geçmişte yaygın olarak kullanılmıştı. Bununla birlikte, saldırganların yıldız derecelendirmeleriyle uğraştığı geçmiş olaylarda, depolarına yüzlerce veya binlerce sahte derecelendirme ekleme eğilimindeydiler. Bu örnekte, çok fazla kaş kaldırmaktan kaçınmak için daha fazla gerçekçiliği tercih ediyor gibi görünüyorlar.
Gelb ayrıca çorap kuklası yıldız gözlemcilerinin çoğunun aynı tarihte yaratıldığını, bunun da şüpheli faaliyetin potansiyel bir göstergesi olduğunu belirtti.
Kötü amaçlı kodun kendisi, geribildirimAPI.exe adı verilen yürütülebilir dosyayı içeren farklı, şifrelenmiş bir .7z dosyasını indiren yeni bir URL’ye yönlendirmek üzere 3 Nisan 2024 gibi yakın bir tarihte güncellendi; dolayısıyla kampanyanın hala aktif olduğu açıkça görülüyor.
Özellikle, yeni yürütülebilir dosya, dosya boyutunu yapay olarak artırmak ve yalnızca 650 MB’a kadar boyutu olan dosyaları kabul edebilen VirusTotal gibi tarayıcıların eşiğini aşmak amacıyla birden fazla sıfırla doldurulmuştu – FeedbackAPI.exe’nin boyutu 750 MB’tır. .
Gelb, kampanyanın birçok insanı başarılı bir şekilde aldattığını ortaya koyacak yeterli kanıt bulunduğunu ve bazı kötü amaçlı depoların, tehlikeli kodu indirmeleri için kandırılan kullanıcılardan şikayetler aldığını söyledi.
Gelb, “Kötü amaçlı GitHub depolarının kötü amaçlı yazılım dağıtmak için kullanılması, açık kaynak ekosistemi için önemli bir tehdit oluşturan süregelen bir eğilimdir” diye yazdı. “Saldırganlar, GitHub’ın arama işlevselliğini kullanarak ve depo özelliklerini değiştirerek, şüphelenmeyen kullanıcıları kötü amaçlı kod indirmeye ve çalıştırmaya yönlendirebilir.”
Gelb, GitHub kullanıcılarına, yaşına göre “olağanüstü” sayıda taahhüt içeren depolar ve çorap kuklası benzeri davranışlar sergileyen hayalperestler de dahil olmak üzere, bu nitelikte bir kampanyanın devam edebileceğini gösteren bazı kırmızı bayrakların farkında olmalarını tavsiye etti.
XZ Utils veri sıkıştırma kütüphanesine yapılan son saldırının ardından, kötü niyetli bir aktörün açık kaynak proje yöneticisinin güvenini kazanmak için yıllar harcadığı ve bir arka kapıya sızmaya çalışmadan önce pek çok yararlı güncelleme gerçekleştirdiği, bunun Herhangi bir geliştiricinin açık kaynak kodunu kullanırken bir ölçüm olarak itibara güvenmesi, tamamen sorumsuz olmasa bile, akıllıca olmayacaktır.
“Kodu körü körüne alan bir geliştirici aynı zamanda körü körüne o kodun sorumluluğunu da üstlenir. Bu olaylar, manuel kod incelemelerinin veya kötü amaçlı yazılımlara karşı kapsamlı kod incelemeleri gerçekleştiren özel araçların kullanılmasının gerekliliğini vurgulamaktadır. Yalnızca bilinen güvenlik açıklarını kontrol etmek yeterli değildir” diye uyardı.
Tehlike göstergelerini (IoC’ler) de içeren araştırma yazısının tamamına Checkmarx’tan ulaşılabilir.