Az új trükk: veszélyes kártevő terjed a GitHubról

Kiberbiztonsági kutatók leplezték le, hogy egy kiberbűnözői csoport a nyíltan elérhető GitHubot használta különféle kártevők terjesztésére. A trükk azért hatékony, mert sok vállalatnál a fejlesztéshez szükséges a GitHub megnyitása, így gyakran nem korlátozzák a hozzáférést. Egy ártalmas letöltést nehéz megkülönböztetni a megszokott GitHub-használattól, sok hálózatvédelmi szűrő pedig automatikusan átengedi az oldalt. Miután a Talos – a Cisco egyik elemzőcsapata – észlelte a kampányt, a GitHub gyorsan eltávolította a három érintett fiókot.

Emmenthal és Amadey: kártevők új köntösben

Az Emmenthal nevű trójai programot korábban Ukrajnában terjesztették kártékony e-maileken keresztül; ott a SmokeLoader (SmokeLoader) nevű hátsó ajtós kártevőt juttatta célba. A most leleplezett kampányban viszont az Emmenthal terjesztője már a GitHubon keresztül juttatott el más kártevőt, az Amadeyt (Amadey). Ez a program először 2018-ban tűnt fel, és főként arra használják, hogy információkat gyűjtsön a megfertőzött rendszerről, majd további, célzott káros szoftvereket töltsön le.

A támadók egyszerűen egy GitHub URL-en keresztül dönthetik el, melyik további fertőzést telepítik. Több különböző kártevőt is szállítottak egyetlen kampányból: ez azt jelenti, hogy egy kiterjedt, „kártevő mint szolgáltatás” (Malware-as-a-Service, MaaS) rendszerről van szó, ahol akár más bűnözők számára is terjesztenek kártevőt.

Bonyolult trükkök és veszélyek

Az Emmenthal program négy rétegű: három rétegen át titkosít és álcáz, majd végül egy PowerShell-letöltőt futtat. A szakértők találtak ál-MP4 videófájlokat is, amelyeken keresztül szintén terjedt a kártevő, valamint egy egyedi, Python-alapú betöltőt (checkbalance.py). A vizsgálat részletes technikai jeleket is felsorol, amelyekkel a rendszergazdák azonosíthatják, hogy érintett volt-e a hálózatuk.

2025, adrienne, arstechnica.com alapján