Github projeleri, bu projelere geri yer enjekte etmek amacıyla kötü niyetli taahhütler ve çekme talepleri ile hedeflenmiştir.
Son zamanlarda, AI ve makine öğrenimi bir başlangıç olan EXO Labs'ın GitHub deposu, saldırganın gerçek niyetlerini merak eden saldırıyı hedef aldı.
Salı günü, EXO Labs'ın kurucu ortağı Alex Cheema, EXO'nun GitHub deposuna gönderilen "masum görünümlü" kod değişikliği konusunda herkesi uyardı.
"Deepseek modelleri için MLX gereksinimini netleştir" başlıklı çekme isteği, modelleri değiştirmeye çalıştı.
Masum görünümlü bir PR aracılığıyla @Exolabs üzerinde arka kapı girişimi. Her kod satırını okuyun. Safu'da kal. pic.twitter.com/m0whocf5mu
Bunlar, her biri bir karakteri temsil eden Unicode numaralarıdır. Başka bir deyişle, düz metin Python kodu, kod değişikliğini gönderen kullanıcı tarafından kullanılan basit bir teknikle sayılar eşdeğer formuna dönüştürülmüştür.
Bu karakter dizisi, "105, 109, 112, 111, 114, 116, ..." Aşağıdaki kod snippet'ine dönüşür (URL Güvenlik amacıyla Defanged):
Oldukça sofistike olmayan kod parçası, evildojo (.) Com'a bağlanmaya çalışır ve göründüğü gibi "Stage1" yükünü indirir.
Kod değişikliği onaylanmış ve Exo'nun resmi deposuyla birleştirilmiş olsaydı, ürün kullanan herkes, URL tarafından sistemlerinde uzaktan servis edilmek üzere kod yürütebilir ve dolayısıyla fonksiyonel bir arka kapı implante olabilir.
Bununla birlikte, BleepingComputer tarafından erişildiğinde, bağlantı 404 (bulunamadı) döndürdü ve URL'ye erişmeye çalışan diğerlerine göre, en başından beri hiçbir içerik yoktu.
Burası zorlaşıyor ve görünürde kesin bir cevap yok.
Taahhüt, o zamandan beri silinmiş bir hesap olan "EvildoJo666" dan bir GitHub kullanıcısından gönderilmiş gibi görünüyor.
GitHub Kullanıcı Adı ve Etki Alanı EvildoJo (.) COM için arşivlenmiş sayfası, bu taahhütlerle bir ilgisi olduğunu sürekli olarak reddeden Teksas merkezli bir güvenlik araştırmacısı, etik hacker ve yazılım mühendisi Mike Bell'e işaret ediyor.
Bell, birisinin onu taklit ettiğini iddia ediyor ve bu kötü niyetli kod gönderimlerini bulaşacak.
Bell ayrıca "Asla herhangi bir yük yok ... insanlar neden olduğunu varsaymaya devam ediyor?"
Adil olmak gerekirse, Bell'in hikayesi ekleniyor. Herkes, başka bir kişinin detaylarını ve profil resmini kullanarak bir GitHub hesabı oluşturabilir ve tüm başka bir kişinin kisvesi altında kod değişiklikleri ve projelere talepler çekmeye başlayabilir.
EvildoJo'nun etki alanındaki var olmayan "Stage1payload" sayfası, alan adının hiçbir zaman kötü amaçlı bir kod sunmadığından, bunun alan adının sahibine karşı bir smear kampanyası olması muhtemeldir.
Şimdi silinmiş bir GitHub hesabı "DarkImage666", kötü amaçlı yazılım analizi ve ters mühendislik platformu olan Malcoreio tarafından tanımlandı. Bu hesap aynı zamanda Bell'i taklit etti ve arka kapı taahhütlerini açık kaynaklı projelere dağıtmak için bu kötü niyetli çabaya girdi.
"Ben değil, bir taklitçi. Dikkat hesabı silindi. Çok üzgünüm insanlar bir kızakların sığır etine sürükleniyor," diye belirtti Imposter hesabında.
Chrzankong da dahil olmak üzere sosyal medya kullanıcıları, diğer bazı projelerin benzer taahhütlere sahip farklı GitHub kullanıcı hesapları tarafından hedeflendiğini belirtti.
Tehdit Intel analisti VX-Underground'a göre, "YT-DLP", popüler bir açık kaynak ses ve video indiricisi de hedeflendi. Malcore, diğer projelere yönelik en az 18 özdeş çekme talebi belirledi.
Yazma sırasında, BleepingComputer bu tür kötü niyetli taahhütlerin ve bazıları Endonezya tabanlı görünen ilişkili "Muppet" GitHub kullanıcı hesaplarının kaldırıldığını gözlemledi.
Google Mühendis ve Teknik Etkinlikler Lideri Bogdan Stanga, PRECUBIME'in Github Eylemlerini Test etmek için Github Eylemleri'ni, deponuza gelen çekme isteklerine karşı anlık kod incelemelerini gerçekleştirmek için kullanan çekme isteğini yeniden oluşturabildi. Test kodu değişikliği derhal gözden geçiren tarafından "kritik güvenlik" uyarısı ile işaretlendi:
Olay, erken yakalanmış ve ezilmiş olmasına rağmen, yakın zamanda kötü niyetli kodun hain aktörler tarafından meşru ve yaygın olarak popüler açık kaynak kütüphanelerine nasıl gizlenebileceğini gösteren önemli XZ tedarik zinciri saldırısının yankılarına sahiptir.
Açık kaynaklı proje bakımlarından, "iyi niyet" katılımcılarından kaynaklanıyor gibi görünse bile, otomatik araçlar ve kapsamlı insan kodu incelemeleri aracılığıyla gelen çekme isteklerini dikkatlice incelemeleri istenir.
Lottiefiles, kullanıcıların kriptolarını çalmak için tedarik zinciri saldırısına hacklendi
Yeni CVE-2023-3519 Tarayıcı Hacked Citrix ADC, Ağ Geçidi Cihazları Algıladı
Kuzey Koreli bilgisayar korsanları kripto firmalarına karşı yeni macOS kötü amaçlı yazılım kullanıyor
Govt Network'teki Sophos Güvenlik Duvarı Hackinde Kullanılan Özel "Cugmy Keçi" Kötü Yazılım
Yeni kimlik avı saldırılarında backdoed Linux VM'lerle enfekte olan pencereler
Kaynak: Bleeping Computer