Phát hiện hơn 67 kho GitHub giả mạo chứa mã độc tấn công người dùng Python và game
Chiến dịch mạng từ nhóm Banana Squad lợi dụng kho trên GitHub để phát tán mã độc thông qua công cụ Python và cheat game giả mạo, đe dọa nhà phát triển và game thủ.
Chiến dịch tấn công khai thác kho GitHub giả mạo
Các nhà nghiên cứu bảo mật vừa phát hiện một chiến dịch mới do nhóm tấn công có tên Banana Squad tổ chức, khi chúng tạo ra ít nhất 67 kho GitHub giả mạo, tuyên bố chứa công cụ Python hợp pháp nhưng thực chất cài sẵn mã độc backdoor và stealer. Đối tượng bị nhắm đến là các lập trình viên tìm kiếm tool, cheat game như Discord cleaner, Fortnite cheat, hay công cụ kiểm tra tài khoản PayPal.
Mã độc được giấu kín khéo léo bằng kỹ thuật padding mã trong các dòng kéo dài, khiến đoạn code độc không bị nhìn thấy khi duyệt nhanh trên GitHub. Nhờ vậy, nhiều người dùng có thể vô tình tải về và chạy gây nhiễm hệ thống.
Các kho này đã bị GitHub gỡ xuống, nhưng thực tế lượng backdoor ẩn trong hơn trăm kho với đủ biến thể mã độc như RAT, thông tin đánh cắp, theo chuỗi Supply Chain Attack.
Giải pháp bảo mật cần triển khai
-
Xác thực nguồn gốc kho code
-
Chỉ tải các dự án từ tài khoản uy tín, có sao (star) thực, đại diện cộng đồng rõ ràng.
-
Cẩn trọng với các kho đơn lẻ, mới tạo, ít tương tác.
-
-
Rà soát và phân tích mã tự động
-
Dùng công cụ quét mã (SAST, malware scanner) để kiểm tra code trước khi tải và build.
-
Tích hợp vào quy trình CI/CD để phát hiện sớm dòng mã dài bất thường hoặc payload ẩn.
-
-
Chính sách quản lý code chặt chẽ
-
Chỉ cho phép nhóm dev chuyên trách xem và phê duyệt kho bên ngoài trước khi đưa vào hệ thống.
-
Theo dõi các update bất thường và hành vi lạ khi pull/push code.
-
-
Giáo dục người dùng cuối
-
Truyền thông nội bộ để nâng cao nhận thức với mã nguồn mở, đặc biệt khi tìm kiếm cheat game hay tool bên thứ ba.
-
Cảnh báo các dấu hiệu như padding dài, repo mới, tên giống tool nổi tiếng.
-
-
Giám sát thiết bị và hành vi hệ thống
-
Dùng EDR hoặc giải pháp bảo mật endpoint để phát hiện truy cập bất thường, exfiltration dữ liệu sau khi chạy code lạ.
-
Ghi nhật ký và cảnh báo khi có outbound traffic đáng nghi.
-
Việc khai thác kho GitHub giả mạo cho thấy các nhóm tấn công chuyển hướng từ phương pháp truyền thống như PyPI sang GitHub, lợi dụng tin tưởng của người dùng và quy trình làm việc tiện lợi. Bảo vệ chuỗi cung ứng phần mềm giờ đây không chỉ nằm ở việc quản lý mã nguồn, mà còn cần nâng cao nhận thức lập trình viên, áp dụng công cụ tự động và giám sát suốt vòng đời phát triển.
Hương - Theo TheHackerNews