Специалисты по кибербезопасности компании Socket обнаружили крупную кампанию по распространению вредоносного ПО через GitHub. По их данным, злоумышленники затронули более 700 публичных репозиториев.

 Изображение - ChatGPT

Исследовательская группа Socket сообщила о кампании, в рамках которой хакеры изменяли файлы package.json в репозиториях GitHub. Вредоносный код размещался в сценариях автоматической установки Postinstall, которые запускались во время установки зависимостей.

После запуска такого сценария система загружала троянскую программу без дополнительных действий со стороны разработчика. Получив доступ к устройству жертвы, злоумышленники могли собирать конфиденциальные данные и использовать зараженную среду для дальнейшего распространения атаки на другие проекты.

Для маскировки вредоносное ПО сохранялось под именем файла «/tmp/.sshd». Такое название напоминало легитимный процесс SSH и снижало вероятность того, что разработчики быстро заметят подозрительную активность.

Это может быть вам так же интересно:

Уязвимость в Google Gemini: хакеры скрывали команды в сообщениях на неизвестном пользователю языке

По оценке Socket, особую опасность представляет сама схема распространения. Разработчики нередко доверяют автоматизированным процедурам установки, поэтому компрометация исходного репозитория способна затронуть зависимые проекты.

Эксперты рекомендуют внимательнее проверять сторонние пакеты, контролировать настройки Composer и регулярно анализировать скрипты, которые выполняются автоматически во время установки программных компонентов.