Специалисты по кибербезопасности предупреждают об участившихся случаях компрометации рабочих станций разработчиков через поддельные репозитории на GitHub. По данным отдела безопасности и центра анализа угроз компании QiAnXin, несколько корпоративных клиентов стали жертвами атак, когда сотрудники загружали недоверенные инструменты или установочные пакеты с платформы. Это приводило к внедрению на компьютеры вредоносного ПО для кражи данных или скрытого майнинга, создавая угрозу для конфиденциальной информации компаний.
Описание
Эксперты выделили две особо активные хакерские группы, чьи методы, несмотря на относительную простоту, оказались эффективными благодаря открытости GitHub. Прозрачность и доступность платформы сыграли на руку злоумышленникам, позволив их незамысловатым ловушкам оставаться незамеченными и регулярно привлекать новых жертв.
Одной из таких групп является Water Curse, ранее задокументированная компанией Trend Micro. Её деятельность затрагивает в первую очередь исследователей безопасности и инженеров-разработчиков. Атакующие постоянно создают новые репозитории на GitHub для обхода систем обнаружения. В рамках текущей кампании использовался репозиторий, предлагающий утилиту SearchFilter. Это приложение на базе CEF содержало скрытый вредоносный JavaScript-код в файле app.asar, который загружался процессом elevate.exe. Функционал сводился к загрузке дополнительных payload с трёх удалённых URL. После многоэтапной загрузки в память процесса RegAsm.exe внедрялся троян AsyncRat, предназначенный для кражи учетных данных. Командный сервер атаки располагался по адресу 209.38.193[.]86:6650. По заявлению QiAnXin, их продукт «Тяньцин» успешно блокировал эти действия.
Вторая группа, известная как Lucifer, пошла по пути социальной инженерии, ориентированной на разработчиков. Она создала репозиторий с якобы взломанной версией популярной среды разработки IDEA, сопроводив его инструкциями на китайском языке. Пользователям предлагалось скачать архив win_idea_Pojie.zip, внутри которого находился сценарий install-current-user.vbs. Этот скрипт запускал вредоносный JAR-файл, действующий как загрузчик. Если основная схема атаки, связанная с добавлением вредоносной DLL в переменные окружения для перехвата системной службы msdtc, не срабатывала, злоумышленники переходили к альтернативному плану. Они создавали задание в Планировщике задач Windows для удалённого выполнения MSI-пакета, в который также встраивался вредоносный код.
Конечной целью атаки Lucifer была установка майнера. Вредоносная библиотека oci.dll загружала финальный payload с нескольких URL, включая ресурсы на GitHub, Gitee и Launchpad. Этот payload, майнинг-программа, затем исполнялся непосредственно в памяти, что усложняет его обнаружение. Для связи майнер использовал набор командных серверов, включая домены c3.wptask.cyou, sky.wptask.cyou и ряд IP-адресов с конкретными портами.
Оба кейса демонстрируют растущую тенденцию использования легитных платформ для распространения угроз. Атакующие рассчитывают на доверие, которое разработчики испытывают к ресурсам вроде GitHub, и на их желание сэкономить время, используя готовые, особенно «взломанные», решения.
Индикаторы компрометации
IPv4 Port Combinations
- 129.226.111.80:33333
- 141.11.89.42:8443
- 209.38.193.86:6650
- 45.130.22.219:995
- 45.147.51.78:995
Domains
- auto.c3pool.org
- auto.skypool.xyz
- c3.wptask.cyou
- sky.wptask.cyou
MD5
- 4d5e411d37d67dd867cfa58517f59b16
- 820adb8711e2170a8607b9b428bf33fb
- a9974e36fab0f715c3235ad1dab6bea9
- c9ce544e66fdad83fe4c798bb5cfdfd5
- d1e6e6e2b2f73e30a9bf28daf605e275
- d85859c8540cadff8b360d96b9aeca3a
