Кібератаки на GitHub, що заразили майже мільйон пристроїв
Microsoft видалили з GitHub цілу низку репозиторіїв, які зачепили мільйон користувачів по всьому світу. Виявляється, їх використовували кіберзлочинці, щоб отримати дані юзерів та атакувати їх ще більше.
Нумо розбиратись, що там трапилось.
Детальніше про атаку
Виявили ці атаки ще в грудні 2024 року. Аналітики загроз компанії спостерігали за пристроями, що завантажували зловмисне ПЗ з репозиторіїв GitHub.
Поглиблений аналіз показав, що зловмисники вставляли рекламу у відео на нелегальних піратських потокових вебсайтах. Вони й перенаправляли користувачів на заражені репозиторії GitHub.
Ці репозиторії містили шкідливе ПЗ, яке після завантаження на пристрій починало збирати інформацію користувача. Наприклад, операційну систему, обсяг пам’яті, графічні налаштування, роздільну здатність екрана, шляхи користувачів тощо.
Так, твоя комп’ютерна «біографія» має значення, а для шахраїв — тим паче. Вона допомагає розуміти, як краще продовжити атаку на заражений пристрій.
Потокові вебсайти вбудовували шкідливі рекламні перенаправлення в кадри фільмів, щоб отримувати дохід від платформ з оплатою за перегляд або за клік.
пояснили в Microsoft.
Ці редиректори згодом перенаправляли трафік через один або два додаткових шкідливих редиректори, що в кінцевому підсумку призводило до іншого вебсайту, наприклад, вебсайту зі шкідливим програмним забезпеченням або шахрайського вебсайту технічної підтримки, який потім перенаправляв на GitHub
Що далі робили злочинці?
На наступних етапах атаки, шкідливе програмне забезпечення завантажувало трояна (тип вірусу) для віддаленого доступу (NetSupport RAT). Це дозволяло зловмисникам отримувати контроль над системою.
Вони викрадали важливі дані юзерів та використовували їх для подальших атак. Відомо, що зловмисники використовували ПЗ з відкритим вихідним кодом, зокрема Lumma. Саме воно допомагало витягувати дані користувачів з їх браузерів.
Також злочинці добре підготувались та застосовували різні методи, щоб залишатися непоміченими. Наприклад, використовували спеціальні скрипти, що допомагали сховати сліди в системі. Це зберігало контроль над зараженими пристроями, навіть після того, як система спробувала заблокувати заражене програмне забезпечення.
Зараз вже все безпечно?
Хоча Microsoft вжили заходів, загрозу не можна вважати повністю усуненою.
Зловмисники не обмежувалися лише GitHub. Деякі з їхніх шкідливих репозиторіїв були розміщені на інших популярних платформах, таких як Dropbox і Discord.
Microsoft дала цій кампанії кодову назву Storm-0408 і продовжує стежити за такими загрозами, щоб зрозуміти, як їх запобігти в майбутньому. Адже атаки, ймовірно, не були одноразовими, і нові хвилі можуть з’являтися.
Так що будь у формі та готуйся не потрапити у руки злочинців.
Підсумуємо
Справжні загрози з’являються там, де менше за все чекаєш.
Цей випадок ще раз підкреслює, наскільки важливо стежити за безпекою на популярних платформах, де, здавалося б, має бути безпечно.А щоб не пропустити нові загрози та бути на хвилі актуальних новин, підписуйся на наш Telegram-канал. Якщо з’являтимуться нові серйозні атаки, ми тебе повідомимо.