Infiltrazione silente: l'epidemia di codice nocivo su GitHub
Impatto del codice maligno nei repo: rischi per la sicurezza nello sviluppo software
Cybercriminali hanno clonando oltre 100.000 repository GitHub, inserendo malware che ruba dati sensibili. Usano fork ingannevoli e tecniche sofisticate per nascondere il codice maligno.
Recenti indagini condotte dalla società di cybersecurity Apiiro hanno rivelato un'estesa compromissione di repository su GitHub. La piattaforma di hosting per lo sviluppo software è stata presa di mira da cybercriminali che han replicato e modificato oltre 100.000 repository con codice maligno. L'offensiva malevola, rilevata inizialmente su PyPI, si è velocemente propagata sfruttando la clonazione massiva di repository già in circolazione, incrementando così la portata del danno.
Strategie di inganno e fork maliziosi
Gli autori di questa campagna di malware camuffano le loro pericolose creazioni come copie legittime di repository autentici su GitHub, adottando i medesimi nominativi. Il malware viene incorporato nel codice originario, poi attraverso una ripetizione incessante di fork, prosegue la sua catena infettiva. Con i repository compromessi in larga circolazione, ingenti numeri di sviluppatori e utilizzatori dei pacchetti hanno inconsapevolmente prelevato e attivato payload perniciosi dietro le apparenze di software genuini.
Effetti dannosi del malware
All'apertura dei repository contaminati, gli aggressori mettono in moto codici dannosi creati per estorcere informazioni delicate come credenziali, password e cookie di navigazione. Più precisamente, il software intrusivo implementato è una variazione di BlackCap-Grabber, designato per l'asportazione di dati sensibili e per trasferirli a server di comando e controllo gestiti da cybercriminali, aggiungendo cosi un ulteriore insieme di azioni lesive.
Sofisticate tecniche di evasione
Una disanima eseguita dal gruppo Trend Micro ha evidenziato che il malware utilizza metodi avanzati per occultare la sua presenza malefica all'interno del codice sorgente dei repository. Si nota l'adozione dell'exec smuggling, un'astuzia per eseguire codice in maniera dinamica appariscente innocua, distanziando l'istruzione exec con ampie sequenze di spazi vuoti, eludendo così le ispezioni visive durante le revisioni di codice.
Follow us on Facebook for more pills like this03/03/2024 14:08
Marco Verro