A GitHub-on támadják a nyílt forrású fejlesztőket

Habár kicsi az esély arra, hogy a magasan képzett szakemberek bedőlnek egy ilyen trükknek, de bármi megtörténhet.

Az elmúlt hónapokban egy olyan támadássorozat zajlott, melynek célpontjai azok a szoftverfejlesztők, akik a GitHub-on hozzák nyilvánosságra kódjaikat, és amelyben egy kevéssé ismert, de igen hatékony és veszélyes adatlopó malware-t használtak fel – írták meg tegnapelőtti blogbejegyzésükben a Palo Alto Networks szakemberei.

Az ismertető szerint a kampány januárban indult, ekkor számoltak be kutatók arról, hogy a GitHub felhasználói olyan e-maileket kaptak, melyekben látszólag jól fizetett munkát ajánlottak nekik, ám a levelekhez tartozott egy .gz melléklet, amely egy rosszindulatú makrót tartalmazó Word-dokumentumot rejtett. Ha a címzett engedélyezte a makró futását, akkor elindult egy szkript, mellyel a kód felcsatlakozott egy távoli szerverre, és onnan letöltötte a Dimnie nevű malware-t. Ezt a vírust már 2014 óta ismerik, de nem kapott túl sok figyelmet, mivel mindeddig első számú célpontjai oroszországi felhasználók voltak.

A feltelepült malware adathalászatot végez, de többféle módszerrel ügyesen elrejtőzik a felhasználó normál aktivitása mögé, hogy észrevétlen maradjon, pl. látszólag a Google által jegyzet doménekről érkező kéréseket generál, ám valójában a támadók által ellenőrzött IP-címmel kommunikál.

A Dimnie emellett képes további kártékony modulokat is letölteni, melyeket egyenesen a normál Windows-folyamatok memóriájába injektál: ezek a modulok nem hagynak maguk után nyomot, így nagyon nehéz detektálni őket. A modulok különféle feladatokat látnak el: billentyűzetfigyelés, kapcsolat kiépítése a számítógéphez csatlakoztatott kártyákkal stb., és van egy olyan önmegsemmisítő modul is, mely a malware jelenlétét jelző fájlokat tünteti el a meghajtóról.

A kutatók nem próbálták meghatározni, hogy kik állhatnak a támadások mögött, de a kampánynak több olyan jellemzője is van, mely utalhat arra, hogy állami megbízásból dolgozó bűnözők lopják az adatokat – ezt a gyanút erősítheti, hogy a fejlesztők értékes ipari kémkedési célpontok, mivel gépeiken bőségesen lehetnek olyan nem nyilvános (esetlegesen munkahelyi) információk, melyek iránt érdeklődhetnek mások.

Azóta történt

Előzmények