Sophos 的最新研究表明,网络犯罪分子在未进行适当检查的情况下使用开源存储库时也会面临恶意软件感染。
仅今年一年,就有数十份报告揭露了针对开发人员、企业或最终用户的供应链攻击,旨在部署信息窃取恶意软件和后门,其中许多是通过恶意 NPM 包进行的。
然而,周三,Sophos 披露了一次类似的攻击,这次攻击通过带有后门的 GitHub 存储库针对游戏作弊者和缺乏经验的威胁行为者。
该网络安全公司的调查始于开源恶意软件项目 Sakura RAT,发现该项目被注入了旨在感染编译 RAT 的人的代码,其中包含信息窃取程序和其他后门。
该网络安全公司发现该活动中使用的四种后门:PreBuild 后门、Python 后门、屏幕保护程序后门和 JavaScript 后门。
深入研究后,Sophos 发现发布 Sakura RAT 存储库的个人创建了超过一百个其他后门项目,声称提供恶意软件、攻击工具和游戏作弊工具。
Sophos 指出: “结果是,威胁行为者正在大规模创建后门存储库,主要针对游戏作弊者和缺乏经验的威胁行为者 — — 而且很可能已经这样做了一段时间。”
该网络安全公司指出,这些存储库中一个常见的现象是,即使在没有后门的存储库中,也会出现“ischhfd83”电子邮件地址。另一个问题是,尽管这些存储库的生命周期很短,但提交次数却很高——平均有 4,446 次。
该活动很可能是几年前开始的分发即服务 (DaaS) 行动的一部分,与之相关的活动显然是在 2022 年 8 月首次曝光的,当时一个威胁行为者正在分叉合法存储库以大规模注入后门。
此后,又有十多份报告发现了传播各种恶意软件家族和后门的恶意软件包和存储库,其中包括去年对Stargazer Goblin的研究,该威胁行为者使用 3,000 多个 GitHub 帐户进行恶意软件传播。
Sophos 表示,多年来标记的行动 - 许多依赖于与恶意软件和游戏作弊相关的存储库 - 可以通过重叠和策略变化相互联系,因为有些似乎是当前活动的变体。
一名威胁行为者在俄语网络犯罪论坛上宣传 DaaS 服务,但 Sophos 无法将该威胁行为者与新的后门活动联系起来。
该公司表示:“后门活动背后的威胁行为者可能只是从其他来源(可能包括其他威胁行为者)获取代码,添加后门,然后将结果上传到他们控制的存储库。”
然而,Sophos 发现了该活动幕后个人可能使用的别名,例如“未知”和“Muck”,以及与 arturshi[.]ru 和 octofin[.]co 域名、社交媒体影响者、名为“Ali888Z”的 Pastebin 用户和名为“searchBRO @artproductgames”的 Glitch 用户的潜在链接。
Sophos 指出:“我们发现了大量带有后门的 GitHub 代码库,其中包含多种类型的后门。这些后门并不简单;事实证明,它们只是一条漫长而复杂的感染链的第一步,最终会引发多个 RAT 和信息窃取程序。讽刺的是,威胁行为者似乎主要针对作弊游戏玩家和缺乏经验的网络犯罪分子。”
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...