- Nhóm tấn công có tên là Automated Libra đã được quan sát thấy đang sử dụng kỹ thuật tấn công vượt qua xác thực CAPTCHA để tạo tài khoản GitHub độc hại như một phần của chiến dịch freejacking có tên là PURPLEURCHIN.

PURPLEURCHIN được phát hiện vào tháng 10 năm 2022, đã tạo tới 30 tài khoản GitHub, 2000 tài khoản Heroku và 900 tài khoản Buddy để mở rộng quy mô hoạt động của mình. Nhóm chủ yếu nhằm mục tiêu vào các nền tảng đám mây cung cấp các bản dùng thử trong thời gian giới hạn để thực hiện các hoạt động khai thác tiền điện tử.

Theo Unit 42, nhóm này đã tạo từ ba đến năm tài khoản GitHub mỗi phút vào thời điểm hoạt động cao nhất vào tháng 11 năm 2022, thiết lập hơn 130.000 tài khoản trên Heroku, Togglebox và GitHub. Ước tính có hơn 22.000 tài khoản GitHub được tạo từ tháng 9 đến tháng 11 năm 2022: ba tài khoản vào tháng 9, 1.652 tài khoản vào tháng 10 và 20.725 tài khoản vào tháng 11.

Mục đích chính của PURPLEURCHIN là khai thác các tài nguyên máy tính được phân bổ cho các tài khoản miễn phí và có phí trên các dịch vụ đám mây để thu lợi nhuận trên quy mô lớn trước khi mất quyền truy cập do không thanh toán phí.

Bên cạnh việc tự động hóa quy trình tạo tài khoản bằng cách tận dụng các công cụ hợp pháp như xdotool và ImageMagick, đối tượng tấn công cũng bị phát hiện khai thác điểm yếu trong CAPTCHA trên GitHub thông qua việc sử dụng lệnh chuyển đổi (convert command) của ImageMagick để chuyển đổi hình ảnh CAPTCHA thành phần bổ sung RGB của chúng, sau đó sử dụng lệnh nhận dạng (identify command) để trích xuất độ lệch của red channel và chọn giá trị nhỏ nhất.

Tạo tài khoản thành công, Automated Libra sẽ tiến hành tạo kho lưu trữ GitHub và triển khai các quy trình để có thể khởi chạy tập lệnh Bash và containers để bắt đầu chức năng khai thác tiền điện tử.

PV