ГК Innostage рассказал об атаке хакеров на сервис для разработчиков GitHub
Соцсеть для разработчиков GitHub пострадала от широкомасштабной атаки: злоумышленники изменили более 35 тысяч репозиториев кода для различных систем. По информации Центра предотвращения киберугроз CyberART ГК Innostage, хакеры могли использовать поддельные учётные данные.
«Атакующие добавили в код специфичную строку, в результате чего в сервис попал вредоносный код. При запуске он собирает и отправляет всё содержимое переменной окружения на сервер злоумышленника, расположенный на российском VPS "Джино". В переменном окружении может храниться много служебной информации, в том числе - логины и пароли», — пояснил Антон Кузьмин, руководитель Центра предотвращения киберугроз CyberART ГК Innostage.
Большинство поражённых репозиториев является «форками» от легитимных. Причём наименования разработчиков и самих проектов приближены к легитимным.
Владельцам Github благодаря наводке ИБ специалистов удалось оперативно и практически полностью удалить вредоносный код из соцсети, к настоящему времени измененными остаются только 290 репозиториев.
Рекомендуется заблокировать на периметровом сетевом оборудовании появившийся домен, а также обращения на URL подозрительного вида на прокси-серверах. Кроме того, следует проверять легитимность публичных репозиториев перед их использованием или загрузкой с помощью CI/CD решений.