С начала августа 2023 года специалисты по кибербезопасности зафиксировали серию атак, в рамках которых злоумышленники использовали технику «висячих коммитов» (dangling commits) в официальных репозиториях GitHub для продвижения поддельного клиента GitHub Desktop. Эта кампания сочетает методы малвертайзинга (malvertising - распространение вредоносного ПО через рекламу) и атаки на цепочку поставок, что позволяет преступникам придавать вредоносному контенту видимость легитимности.
Описание
Техника «висячих коммитов» заключается в том, что злоумышленник создаёт ответвление (fork) легитимного репозитория, вносит в него вредоносный коммит, а затем удаляет свой аккаунт. При этом коммит остаётся доступным по прямой ссылке и выглядит как часть оригинального репозитория, хотя фактически таковым не является. Этот метод ранее документировался в исследованиях, например, экспертами Palo Alto Networks в контексте злоупотреблений GitHub Actions.
В данной кампании злоумышленники создавали одноразовые учётные записи на GitHub, форкали репозиторий официального десктопного клиента GitHub Desktop, добавляли вредоносный коммит и затем удаляли аккаунт. В результате ссылка вида "https://www.github.com/desktop/desktop/tree/{хэш_коммита}" вела на вредоносный контент, но при этом у жертвы могло сложиться впечатление, что она находится в проверенном репозитории.
Для усиления эффекта обмана злоумышленники использовали якорные ссылки, которые вели не на начало страницы, а на её середину. Это делалось для того, чтобы потенциальная жертва не увидела предупреждение GitHub о том, что коммит не относится к основному репозиторию. Таким образом, пользователи, переходящие по рекламным объявлениям, могли не заметить признаков мошенничества.
По данным телеметрии, жертвами кампании стали пользователи из США, Европы, Южной Америки и Азии. Среди пострадавших секторов - телекоммуникации, туризм, разработка программного обеспечения, государственные услуги, электронная коммерция и розничная торговля. Распространение происходило через рекламные сети, где злоумышленники размещали ссылки на поддельные страницы GitHub, имитирующие легитимный клиент.
Эксперты напоминают, что атаки на цепочку поставок становятся всё более изощрёнными. Использование платформ с высокой репутацией, таких как GitHub, позволяет злоумышленникам повышать уровень доверия со стороны жертв. Для защиты рекомендуется всегда проверять происхождение коммитов, обращать внимание на предупреждения платформы и использовать только официальные источники для загрузки программного обеспечения.
GitHub уже уведомлена о инциденте. Команда безопасности платформы традиционно оперативно реагирует на подобные случаи, однако пользователям следует сохранять бдительность при переходе по ссылкам из непроверенных источников, даже если они выглядят доверительно.
Индикаторы компрометации
URLs
- https://downloadingpage.my
- https://feelsifuyerza.com
- https://git-desktop.app
- https://github.com/desktop/desktop/tree/636f5d478fa774635da5b25ecb842822ab444009?tab=readme-ov-file&gad_source=1&gad_campaignid={redacted}&gclid={redacted}#download-github-desktop
- https://gitpage.app
- https://oguiuweyqwe.online
- https://poiwerpolymersinc.online
- https://powiquwieree.com
- https://slepseetwork.online
SHA256
- 0b9afc9019f3074c429025e860294cb9456510609dd1dca8e8378753ade5a17e
- 2a1c127683dba19399cc6516d5700d4e756933889dad156cd62b992aaf732816
- ad07ffab86a42b4befaf7858318480a556a2e7c272604c3f1dcae0782339482e
- e252bb114f5c2793fc6900d49d3c302fc9298f36447bbf242a00c10887c36d71
- ec89c0ffc755eafc61bbf3b9106e0d9d7cbfaa9e70fbe17d9e4fbb9a7d38be64
- ed1811c16a91648fe60f5ee7d69fe455d0a3855eebb2f3d56909b7912de172fd
- efcf5fe467f0ba8f990bcdfc063290b2cf3e8590455e6c7c8fe0f7373a339f36
