Компания Recorded Future предупредила о вредоносной кампании, в рамках которой злоумышленники использовали легитимный профиль на GitHub для распространения инфостилеров.
По словам исследователей, хакеры, находящиеся на территории СНГ, распространяли через GitHub такую малварь, как Atomic macOS Stealer (AMOS), Vidar, Lumma и Octo, маскируя их под легитимные приложения, включая 1Password, Bartender 5 и Pixelmator Pro. При этом все вредоносы использовали одну и ту же управляющую инфраструктуру, то есть для повышения эффективности кросс-платформенных атак использовалась единая система.
Согласно нескольким отчетам, опубликованным в начале 2024 года, вредонос AMOS распространялся через мошеннические сайты, выдавая себя за легитимные приложения для macOS (включая установочный файл Slack), а также через мошеннические игровые проекты Web3.
Взяв эти отчеты за отправную точку, Recorded Future удалось обнаружить 12 сайтов, рекламирующих ПО для macOS, но в итоге перенаправляющих пользователей на профиль GitHub, распространяющий AMOS. Также этот профиль распространял банковского трояна Octo для Android и ряд инфостилеров для Windows.
Аккаунт на GitHub принадлежит пользователю под ником papinyurii33, был создан 16 января 2024 года и содержал всего два репозитория. Исследователи обнаружили многочисленные изменения в файлах этих репозиториев в феврале и начале марта текущего года, однако после 7 марта новой активности не наблюдалось.
Также расследование показало, что для управления вредоносным ПО и распространения инфостилеров Lumma и Vidar использовался FTP-сервер FileZilla.
Аналитики пишут, что суммарно выявили несколько IP-адресов, связанных с этой кампанией, в том числе четыре IP-адреса, связанные с управляющей инфраструктурой для DarkComet RAT и FTP-сервером FileZilla, который использовался для распространения вредоносов. В период с августа 2023 года по февраль 2024 года аналогичным образом распространялся и Raccoon Stealer.
Специалисты резюмируют, что организациям стоит использовать автоматизированные средства сканирования для оценки кода, получаемого из внешних репозиториев, что должно помочь выявить потенциально вредоносные программы и подозрительные паттерны.
