В июле 2023 года сканеры Checkmarx обнаружили нетипичные коммиты в сотнях репозиториев GitHub, которые, как оказалось, были внесены Dependabot и содержали вредоносный код.
- Эти сообщения были сфабрикованы злоумылшенниками, чтобы в истории коммитов они выглядели как автоматический вклад Dependabot, и таким образом пытались замаскировать вредоносную деятельность.
- После общения с некоторыми жертвами взлома Checkmarx можем подтвердить, что токен персонального доступа к GitHub был украден и использован злоумышленниками для внесения этих вредоносных кодов.
- Вредоносный код передавал определенные секреты проекта GitHub на вредоносный C2-сервер и модифицировал все существующие javascript-файлы атакуемого проекта вредоносным кодом для кражи пароля из веб-формы, воздействуя на любого конечного пользователя, отправляющего свой пароль в веб-форме.
- Атака также затрагивала частные репозитории организаций GitHub, к которым также имели доступ некоторые токены GitHub жертв.
- Пока неясно, каким образом были похищены персональные токены доступа жертв - возможно, это произошло в результате установки на их ПК вредоносного open-source пакета
Indicators of Compromise
Domains
- wagateway.pro
URLs
- https://send.wagateway.pro/webhook
- https://send.wagateway.pro/client.js