Через репозитории на GitHub распространяется малварь Keyzetsu - «Новости» » Интернет технологии
sitename
Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
Королевская почта Великобритании расследует возможную утечку данных - «Новости»
Королевская почта Великобритании расследует возможную утечку данных - «Новости»
РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Вымогатели Hunters International считают, что шифровальщики стали слишком опасными - «Новости»
Вымогатели Hunters International считают, что шифровальщики стали слишком опасными - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Через репозитории на GitHub распространяется малварь Keyzetsu - «Новости»

Эксперты компании Checkmarx обнаружили, что злоумышленники злоупотребляют функциями поиска на GitHub, чтобы обманом заставлять пользователей, которые ищут популярные репозитории, загружать подделки, содержащие вредоносное ПО. Распространяемая так малварь Keyzetsu перехватывает содержимое буфера обмена и ворует криптовалюту.



Общая схема атаки

По данным исследователей, хакеры создают на GitHub репозитории с именами, которые имеют больше шансов занять высокие позиции в результатах поиска, а также используют различные методы для искусственного повышения их популярности и видимости на платформе.



Фейковые репозитории

Пользователи, которые не замечают подмены и загружают файлы из таких репозиториев, становятся жертвами малвари Keyzetsu, которая скрывается в файлах проектов Visual Studio и незаметно выполняется во время сборки проекта.


Для автоматизации обновления своих репозиториев злоумышленники использовали GitHub Actions, часто изменяя файл журнала мелкими случайными правками. Это помогает вредоносным репозиториям занимать высокие позиции в результатах поиска, если результаты отсортированы по последнему обновлению.



Серия коммитов

Также хакеры автоматизировали процесс создания мошеннических аккаунтов на GitHub, которые добавляют звезды вредоносным репозиториям, чтобы создать ложное ощущение популярности и надежности этих проектов.


Сам вредоносный скрипт, выполняемый в итоге время сборки таких проектов, состоит из batch-скрипта и закодированного в base64 скрипта PowerShell, которые выполняются последовательно и производят следующие действия:



  • стирание временных файлов;

  • получение IP-адреса и определение, не относится ли он к российскому региону;

  • загрузка зашифрованных файлов с указанного URL-адреса в зависимости от страны;

  • расшифровка, извлечение и выполнение загруженных файлов.


Checkmarx отмечает, что начиная с 3 апреля 2024 года, злоумышленники перешли на использование зашифрованной полезной нагрузки /7z, содержащей исполняемый файл размером 750 МБ под названием feedbackAPI.exe.


Столь большой размер файла достигается за счет добавления множества нулей, в результате чего тот становится слишком большим, чтобы его могли сканировать такие защитные инструменты, как VirusTotal.


Во всех случаях конечная полезная нагрузка представляет собой вариант уже упомянутой малвари Keyzetsu, которая подменяет содержимое буфера обмена в Windows данными злоумышленников.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Эксперты компании Checkmarx обнаружили, что злоумышленники злоупотребляют функциями поиска на GitHub, чтобы обманом заставлять пользователей, которые ищут популярные репозитории, загружать подделки, содержащие вредоносное ПО. Распространяемая так малварь Keyzetsu перехватывает содержимое буфера обмена и ворует криптовалюту. Общая схема атаки По данным исследователей, хакеры создают на GitHub репозитории с именами, которые имеют больше шансов занять высокие позиции в результатах поиска, а также используют различные методы для искусственного повышения их популярности и видимости на платформе. Фейковые репозитории Пользователи, которые не замечают подмены и загружают файлы из таких репозиториев, становятся жертвами малвари Keyzetsu, которая скрывается в файлах проектов Visual Studio и незаметно выполняется во время сборки проекта. Для автоматизации обновления своих репозиториев злоумышленники использовали GitHub Actions, часто изменяя файл журнала мелкими случайными правками. Это помогает вредоносным репозиториям занимать высокие позиции в результатах поиска, если результаты отсортированы по последнему обновлению. Серия коммитов Также хакеры автоматизировали процесс создания мошеннических аккаунтов на GitHub, которые добавляют звезды вредоносным репозиториям, чтобы создать ложное ощущение популярности и надежности этих проектов. Сам вредоносный скрипт, выполняемый в итоге время сборки таких проектов, состоит из batch-скрипта и закодированного в base64 скрипта PowerShell, которые выполняются последовательно и производят следующие действия: стирание временных файлов; получение IP-адреса и определение, не относится ли он к российскому региону; загрузка зашифрованных файлов с указанного URL-адреса в зависимости от страны; расшифровка, извлечение и выполнение загруженных файлов. Checkmarx отмечает, что начиная с 3 апреля 2024 года, злоумышленники перешли на использование зашифрованной полезной нагрузки /7z, содержащей исполняемый файл размером 750 МБ под названием feedbackAPI.exe. Столь большой размер файла достигается за счет добавления множества нулей, в результате чего тот становится слишком большим, чтобы его могли сканировать такие защитные инструменты, как VirusTotal. Во всех случаях конечная полезная нагрузка представляет собой вариант уже упомянутой малвари Keyzetsu, которая подменяет содержимое буфера обмена в Windows данными злоумышленников.
CSS

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: