Tin tặc đang sử dụng các kho lưu trữ giả mạo trên GitHub để phát tán mã độc

- Các tác nhân đe dọa đang lợi dụng chức năng tìm kiếm của GitHub để lừa những người thiếu cảnh giác [đang tìm kiếm các kho lưu trữ phổ biến] tải xuống các bản sao giả mạo nhằm phát tán phần mềm độc hại.

Checkmarx cho biết rằng cuộc tấn công mới nhất được phát hiện liên quan đến việc lén lút chèn mã độc - được thiết kế để tải về các payload (tệp/phần mềm độc hại) bổ sung được dùng cho giai đoạn tấn công tiếp theo - bên trong các tệp dự án Microsoft Visual Code.

Nhà nghiên cứu bảo mật Yehuda Gelb cho biết: “Những kẻ tấn công tạo ra các kho lưu trữ độc hại với tên và chủ đề phổ biến, sử dụng các kỹ thuật như cập nhật tự động và giả mạo số lượt yêu thích (số sao) để tăng thứ hạng tìm kiếm và đánh lừa người dùng”.

Ý tưởng là thao túng thứ hạng tìm kiếm trong GitHub để đưa các kho lưu trữ do tác nhân đe dọa kiểm soát lên hàng đầu khi người dùng lọc và sắp xếp kết quả tìm kiếm dựa trên các bản cập nhật mới nhất và tăng mức độ phổ biến thông qua số sao không có thật được thêm bằng các tài khoản giả mạo.

Những chiêu trò này nhằm làm cho các kho lưu trữ lừa đảo trông có vẻ hợp pháp và tin cậy hơn để lừa các nhà phát triển tải chúng.

Gelb cho biết: “Không giống như những cuộc tấn công trước đây - những kẻ tấn công đã thêm hàng trăm hoặc hàng nghìn sao vào kho lưu trữ của họ, trong những trường hợp gần đây, những kẻ tấn công đã chọn số lượng sao khiêm tốn hơn, có lẽ để tránh gây nghi ngờ với con số phóng đại”.

Đáng chú ý, nghiên cứu trước đây của Checkmarx vào cuối năm ngoái đã phát hiện ra một thị trường chợ đen bao gồm các cửa hàng trực tuyến và nhóm trò chuyện đang rao bán số sao GitHub để tăng mức độ phổ biến của kho lưu trữ một cách giả tạo, chiêu trò này được gọi là lạm phát sao.

Ngoài ra, phần lớn các kho lưu trữ này được ngụy trang dưới dạng các dự án hợp pháp liên quan đến các trò chơi, ứng dụng gian lận và các công cụ phổ biến, điều này khiến việc phân biệt chúng với các mã nguồn an toàn trở nên khó khăn hơn.

Để giảm thiểu rủi ro trước các chiến dịch tấn công như vậy, người dùng/các nhà phát triển cần phải kiểm tra cẩn thận trước khi tải xuống hay sử dụng thư viện/mã từ những kho lưu trữ mã nguồn mở, không dễ dàng tin tưởng các kho lưu trữ là tin cậy, an toàn chỉ dựa trên số lượt yêu thích (số sao) của nó.

PV (theo thehackernews.com/tinhiemmang.vn)