Infiltrazione segreta su GitHub da parte di Banana Squad: gli sviluppatori sono sotto minaccia informatica
In una recente evoluzione, i ricercatori della sicurezza informatica hanno scoperto una nuova campagna di malware che distribuisce codice Python dannoso su GitHub, camuffato da strumenti di hacking legittimi. La campagna, collegata al gruppo noto come Banana Squad, rappresenta un cambiamento negli attacchi alla catena di fornitura del software open source.
Le origini dei repository coinvolti in questa campagna possono essere fatte risalire a indicatori URL dannosi, tra cui e . Ogni account GitHub che ospitava questi repository aveva tipicamente un solo repository e una sezione "Informazioni" con parole chiave tematiche, emoticon e stringhe uniche generati dinamicamente.
I repository utilizzati in questa campagna sembravano identici a quelli legittimi per nome. Tuttavia, il codice nascosto all'interno dei file Python utilizzava metodi di codifica, tra cui Base64, Hex e crittografia Fernet, per nascondere le loro funzioni di consegna del carico. Gli attori minacciosi hanno sfruttato l'interfaccia di GitHub per nascondere il codice backdoor utilizzando stringhe di spazi lunghe, rendendo il contenuto dannoso invisibile alla vista normale.
In precedenza, Banana Squad aveva attirato l'attenzione con una serie di pacchetti di malware che miravano a Windows caricati su repository Python in precedenza nell'anno. Questi pacchetti sono stati scaricati quasi 75.000 volte prima di essere rimossi.
Il numero di sviluppatori interessati da questa campagna remains unknown, but due to its breadth, researchers believe that victims are likely. All 67 repositories identified were removed by GitHub following notification. Banana Squad used these repositories hosting trojanized files that resembled benign open-source projects.
ReversingLabs recommends that developers verify repositories match known good versions, avoid relying on single-repository GitHub accounts with little activity, monitor for suspicious domains like , and use tools that support differential analysis of source code to mitigate risks from similar threats.
It is worth noting that the cyberattack using GitHub to covertly spread malware-like Python code disguised as legitimate hacking tools has been attributed to threat actors linked to North Korea. However, identified domains in this context have not been explicitly listed in the sources provided.
This incident serves as a reminder for the importance of vigilance and careful verification when dealing with open-source software. As platforms like GitHub continue to be popular resources for developers worldwide, it is crucial to stay informed about potential threats and take necessary precautions to protect one's work and data.
Leggi anche:
- Un'antica spada dei crociati scoperta nel Mar Mediterraneo da un subacqueo israeliano dopo 900 anni
- Un subacqueo scopre un'antica spada crociata di 900 anni nel Mar Mediterraneo (appartenente a Israele)
- Le tattiche usate dagli tossicodipendenti per ingannare e le strategie per contrastare la droga
- Manuale per il lavoratore remoto per operare virtualmente in Canada utilizzando una scheda eSIM
