Через репозитории на GitHub распространяется малварь Keyzetsu - «Новости» » Интернет технологии
sitename
Россияне чаще всего покупают дешёвые «ноунеймовые» смарт-часы и браслеты - «Новости сети»
Россияне чаще всего покупают дешёвые «ноунеймовые» смарт-часы и браслеты - «Новости сети»
 Windows 11 получит голосовое управление, будет следить за происходящим на экране и выполнять поручения пользователя - «Новости сети»
Windows 11 получит голосовое управление, будет следить за происходящим на экране и выполнять поручения пользователя - «Новости сети»
 Лучше поздно, чем никогда: спустя больше года после релиза Warhammer 40,000: Space Marine 2 получила демоверсию, причём временную - «Новости сети»
Лучше поздно, чем никогда: спустя больше года после релиза Warhammer 40,000: Space Marine 2 получила демоверсию, причём временную - «Новости сети»
 Октябрьское обновление безопасности сломало localhost в Windows 11 - «Новости сети»
Октябрьское обновление безопасности сломало localhost в Windows 11 - «Новости сети»
 Anthropic представила инструмент Skills, который сделает ИИ полезнее в реальной работе - «Новости сети»
Anthropic представила инструмент Skills, который сделает ИИ полезнее в реальной работе - «Новости сети»
 Новый способ подтверждения прав на домен в Яндекс Вебмастере — «Блог для вебмастеров»
Новый способ подтверждения прав на домен в Яндекс Вебмастере — «Блог для вебмастеров»
 Форензик-инструмент Velociraptor применяется для развертывания вымогателей LockBit и Babuk - «Новости»
Форензик-инструмент Velociraptor применяется для развертывания вымогателей LockBit и Babuk - «Новости»
 ФБР закрыло очередную версию BreachForums - «Новости»
ФБР закрыло очередную версию BreachForums - «Новости»
 Xakep.ru снова доступен в Казахстане! - «Новости»
Xakep.ru снова доступен в Казахстане! - «Новости»
 Apple предлагает до 2 млн долларов за уязвимости в своих продуктах - «Новости»
Apple предлагает до 2 млн долларов за уязвимости в своих продуктах - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Через репозитории на GitHub распространяется малварь Keyzetsu - «Новости»

✔Через репозитории на GitHub распространяется малварь Keyzetsu - «Новости»

12 апреля 2024 595 Новости / Изображения / Вёрстка / Преимущества стилей / Добавления стилей / Заработок / Отступы и поля / Линии и рамки 0

Эксперты компании Checkmarx обнаружили, что злоумышленники злоупотребляют функциями поиска на GitHub, чтобы обманом заставлять пользователей, которые ищут популярные репозитории, загружать подделки, содержащие вредоносное ПО. Распространяемая так малварь Keyzetsu перехватывает содержимое буфера обмена и ворует криптовалюту.



Общая схема атаки

По данным исследователей, хакеры создают на GitHub репозитории с именами, которые имеют больше шансов занять высокие позиции в результатах поиска, а также используют различные методы для искусственного повышения их популярности и видимости на платформе.



Фейковые репозитории

Пользователи, которые не замечают подмены и загружают файлы из таких репозиториев, становятся жертвами малвари Keyzetsu, которая скрывается в файлах проектов Visual Studio и незаметно выполняется во время сборки проекта.


Для автоматизации обновления своих репозиториев злоумышленники использовали GitHub Actions, часто изменяя файл журнала мелкими случайными правками. Это помогает вредоносным репозиториям занимать высокие позиции в результатах поиска, если результаты отсортированы по последнему обновлению.



Серия коммитов

Также хакеры автоматизировали процесс создания мошеннических аккаунтов на GitHub, которые добавляют звезды вредоносным репозиториям, чтобы создать ложное ощущение популярности и надежности этих проектов.


Сам вредоносный скрипт, выполняемый в итоге время сборки таких проектов, состоит из batch-скрипта и закодированного в base64 скрипта PowerShell, которые выполняются последовательно и производят следующие действия:



  • стирание временных файлов;

  • получение IP-адреса и определение, не относится ли он к российскому региону;

  • загрузка зашифрованных файлов с указанного URL-адреса в зависимости от страны;

  • расшифровка, извлечение и выполнение загруженных файлов.


Checkmarx отмечает, что начиная с 3 апреля 2024 года, злоумышленники перешли на использование зашифрованной полезной нагрузки /7z, содержащей исполняемый файл размером 750 МБ под названием feedbackAPI.exe.


Столь большой размер файла достигается за счет добавления множества нулей, в результате чего тот становится слишком большим, чтобы его могли сканировать такие защитные инструменты, как VirusTotal.


Во всех случаях конечная полезная нагрузка представляет собой вариант уже упомянутой малвари Keyzetsu, которая подменяет содержимое буфера обмена в Windows данными злоумышленников.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Эксперты компании Checkmarx обнаружили, что злоумышленники злоупотребляют функциями поиска на GitHub, чтобы обманом заставлять пользователей, которые ищут популярные репозитории, загружать подделки, содержащие вредоносное ПО. Распространяемая так малварь Keyzetsu перехватывает содержимое буфера обмена и ворует криптовалюту. Общая схема атаки По данным исследователей, хакеры создают на GitHub репозитории с именами, которые имеют больше шансов занять высокие позиции в результатах поиска, а также используют различные методы для искусственного повышения их популярности и видимости на платформе. Фейковые репозитории Пользователи, которые не замечают подмены и загружают файлы из таких репозиториев, становятся жертвами малвари Keyzetsu, которая скрывается в файлах проектов Visual Studio и незаметно выполняется во время сборки проекта. Для автоматизации обновления своих репозиториев злоумышленники использовали GitHub Actions, часто изменяя файл журнала мелкими случайными правками. Это помогает вредоносным репозиториям занимать высокие позиции в результатах поиска, если результаты отсортированы по последнему обновлению. Серия коммитов Также хакеры автоматизировали процесс создания мошеннических аккаунтов на GitHub, которые добавляют звезды вредоносным репозиториям, чтобы создать ложное ощущение популярности и надежности этих проектов. Сам вредоносный скрипт, выполняемый в итоге время сборки таких проектов, состоит из batch-скрипта и закодированного в base64 скрипта PowerShell, которые выполняются последовательно и производят следующие действия: стирание временных файлов; получение IP-адреса и определение, не относится ли он к российскому региону; загрузка зашифрованных файлов с указанного URL-адреса в зависимости от страны; расшифровка, извлечение и выполнение загруженных файлов. Checkmarx отмечает, что начиная с 3 апреля 2024 года, злоумышленники перешли на использование зашифрованной полезной нагрузки /7z, содержащей исполняемый файл размером 750 МБ под названием feedbackAPI.exe. Столь большой размер файла достигается за счет добавления множества нулей, в результате чего тот становится слишком большим, чтобы его могли сканировать такие защитные инструменты, как VirusTotal. Во всех случаях конечная полезная нагрузка представляет собой вариант уже упомянутой малвари Keyzetsu, которая подменяет содержимое буфера обмена в Windows данными злоумышленников.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: