Специалисты Solar 4RAYS ГК «Солар» предупреждают, что злоумышленники используют блокировку Telegram и повышенный спрос на средства обхода ограничений для распространения малвари через GitHub. Поддельные репозитории копируют оформление популярных утилит и появляются на первых позициях в выдаче поисковиков.

Исследователи рассказывают о нескольких схожих инцидентах, когда пользователи запускали вредоносные инструменты, скачанные с GitHub под видом легитимного софта. Хотя благодаря защитным решениям заражений удалось избежать, в отчете отмечается, что подобных атак становится все больше.

Специалисты объясняют, что из-за действующих в РФ ограничений ссылки на оригинальные и валидные репозитории удаляются из поисковой выдачи «Яндекса». В результате в верхних строках поиска возникает «вакуум», который моментально заполняют вредоносные ссылки.

К примеру, одной из приманок злоумышленников стал популярный локальный прокси tg-ws-proxy разработчика flowseal. Так как оригинальный репозиторий может отсутствовать в результатах поиска, вредоносные ссылки поднимаются на первые позиции в «Яндексе» по запросам вроде «tg-ws-proxy». По наблюдениям специалистов, в Google такие фальшивки из выдачи удаляют заметно быстрее.

Дополнительную опасность, по словам исследователей, представляют неофициальные зеркала GitHub (третья ссылка на скриншоте выше). В изученных кампаниях через такие площадки распространялись, в частности, стилеры Salat и Santa. Последний способен похищать не только браузерные сессии, но и файлы с заданными расширениями.

При этом поддельные репозитории выглядят убедительно: злоумышленники полностью копируют README настоящего проекта, включая верстку, изображения и даже реквизиты для пожертвований. Мошенники рассчитывают на то, что знакомое оформление и домен GitHub усыпят бдительность жертвы.

Однако при более внимательном рассмотрении фальшивки выдают детали. Обычно такой репозиторий принадлежит аккаунту, зарегистрированному несколько недель назад, а весь код загружен одним коммитом через веб-интерфейс с описанием «Add files via upload». Кроме того,  исследователи отмечают, что у популярных утилит не бывает ноль звезд и форков, пустой истории изменений и отключенной вкладки Issues.

Другой характерный признак фальшивки — подозрительные инструкции по установке. В README вредоносных проектов часто можно встретить просьбы отключить антивирус или добавить директорию программы в исключения. Авторы подделок объясняют это особенностями работы Windows Defender, обфускацией или сетевыми функциями приложения. На деле отключение защиты лишь позволяет малвари запуститься без помех.

Кроме того, злоумышленники часто создают в одном аккаунте сразу несколько репозиториев с похожими названиями, чтобы охватить как можно больше поисковых запросов. Из-за этого первые релевантные результаты в поиске «Яндекса» могут вести на разные страницы, принадлежащие одному оператору.

Исследователи заключают, что GitHub лишь предоставляет хостинг и не всегда успевает оперативно проверять новый контент. Поэтому пользователям советуют брать ссылки на проекты из официальных каналов разработчиков, а перед загрузкой проверять возраст аккаунта, историю коммитов и активность репозитория.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии