Зловредные репозитории на GitHub маскируются под инструменты для Magento, распространяя программы-шпионы

Инцидент вскрывает изощрённую тактику социальной инженерии, когда злоумышленники эксплуатируют саму культуру совместной разработки для внедрения вредоносного кода. В отличие от примитивных фишинговых рассылок, эта атака тщательно сконструирована, чтобы обмануть даже опытных специалистов, ищущих в открытых источниках решения для развёртывания или настройки своих проектов. Под удар попадают как индивидуальные разработчики, так и команды, работающие с Magento, что потенциально угрожает безопасности целых интернет-магазинов и конфиденциальным данным клиентов.

Механизм атаки построен на создании репозиториев с привлекательными для целевой аудитории названиями, такими как инструменты для статического развёртывания, Docker-образы или утилиты для управления конфигурацией. Для придания видимости легитимности авторы копируют код и историю коммитов из реальных открытых проектов. Эта уловка приводит к тому, что в разделе "Участники" (Contributors) репозитория отображаются аватары настоящих разработчиков, чей код был украден. Таким образом, случайный посетитель видит знакомые имена и репутационные индикаторы, что резко снижает уровень подозрений. Все идентифицированные вредоносные репозитории были созданы в течение последних 24 часов, однако их история коммитов сфальсифицирована и показывает более старые даты, создавая иллюзию давно существующего и активного проекта.

Ещё одним тревожным признаком, который специалисты по безопасности, такие как Rob Aimes, отметили в своём анализе, является характер активности учётных записей, используемых для публикации. Эти аккаунты, как правило, остаются неактивными в течение многих месяцев, а затем демонстрируют внезапную вспышку активности с серией коммитов, что нетипично для обычного процесса разработки. Среди репозиториев, идентифицированных исследовательской группой Sansec как вредоносные, значатся, например, "github.com/Uros5294/magento2-static-deploy", "github.com/RBT-69/magento2-application" и "github.com/suhanimish12/magento-frankenphp-images". В каждом случае в качестве оригинального автора или последнего коммитера указаны электронные почты, принадлежащие либо реальным разработчикам (чьи данные были использованы без их ведома), либо подозрительным адресам.

Полезная нагрузка атаки тщательно упакована. Пользователей побуждают скачать ZIP-архив с "приложением". Внутри находится автономная среда выполнения LuaJIT вместе с обфусцированным Lua-скриптом. Структура пакета одинакова для всех репозиториев: он включает исполняемые файлы "lua51.dll" и "luajit.exe", а также текстовый файл (например, "clx.txt" или "tcp.log"), который на самом деле содержит зашифрованный вредоносный код. Запуск осуществляется через файл "Launcher.bat", который активирует скрипт, разворачивающий на системе Windows трояна удалённого доступа и кейлоггер. Последний предназначен для перехвата всех нажатий клавиш, что ставит под угрозу любые вводимые пароли, платёжные реквизиты или критичную бизнес-информацию.

Последствия успешного внедрения такого вредоносного ПО могут быть катастрофическими. Троян удалённого доступа предоставляет злоумышленникам практически полный контроль над заражённой рабочей станцией разработчика. Отсюда открывается путь к корпоративной сети, базам данных клиентов, системам управления заказами и, что наиболее опасно, к исходному коду самого магазина на Magento. Внедрение бэкдора на этапе разработки или сборки может привести к долгосрочному и труднообнаружимому закреплению в системе злоумышленников, превратив легитимный бизнес-процесс в канал для постоянной утечки данных или будущих атак на конечных покупателей.

Данная кампания наглядно демонстрирует эволюцию тактик угроз, направленных на цепочку поставок программного обеспечения (software supply chain). Атака нацелена не на прямое взломanie серверов, а на доверие и рабочие привычки разработчиков, выступающих в роли слабого звена. Это требует пересмотра подходов к безопасности не только на уровне инфраструктуры, но и на уровне процессов разработки. Специалистам по информационной безопасности в компаниях, использующих Magento или другие платформы с активным open-source сообществом, необходимо усилить проверку сторонних зависимостей и инструментов, скачиваемых из публичных репозиториев, даже если они выглядят надёжными. Простые меры, такие как верификация авторства репозитория через официальные каналы, проверка графика активности аккаунта и сканирование всех загружаемых артефактов антивирусными решениями, способны блокировать подобные угрозы на ранней стадии. В конечном счёте, инцидент служит суровым напоминанием о том, что открытый исходный код, будучи двигателем инноваций, также требует повышенной осмотрительности и критического подхода при его интеграции в коммерческие проекты.

SHA1

• 239087899df69b7ef9ba5d9716e3312c73c800ba
• 270f66d2c84ee86ff4b07c6220c51abd4897b5f0
• 29ee31ee046198594bb712d186a14a49d1346a50
• 6911c27ebedcad66076a8abf3c2d182ccf559feb
• 7adf9cf2b2cc720aa6ba45ef1be6e423e9576fed
• a6de13e6a4aef51f7b2bc298181ee5e02dd94861
• a72a4990db017897d37759f991e1c1515171c77b
• bef485d8b3ab03ec389b984a231369f9aa2852c0
• c6c9d7de860a848e4053acca3993d2d914889e64
• df37352a15f99cb79f88d412bf20b145f83cbd12
• f5199b4191add11d02d58f521cbea21465b7ff6b

Malicious GitHub accounts

• Uros5294
• RBT-69
• suhanimish12
• saddam237262
• Sultanzacki9506
• NobreTakeshi
• ske1et2