(снимка: CC0 Public Domain)
Оператор на зловреден софтуер като услуга (MaaS) използва публични акаунти в популярното хранилище за разработчици GitHub, за да разпространява своите продукти, разкриха експерти по сигурността от Cisco Talos.
GitHub се превърна в удобен инструмент за хакерската услуга, тъй като се възприема като надеждна платформа в много корпоративни мрежи: самите компании използват GitHub като хранилище за код, когато разработват собствен софтуер, така че домейнът на услугата обикновено не е блокиран от уеб филтри, отбелязва Ars Technica.
Много организации с отдели за разработка на софтуер изискват достъп до GitHub под една или друга форма. След получаване на известие от Talos, администраторите на GitHub са изтрили три акаунта, които са хоствали зловреден софтуер.
Инцидентът е свързан с кампания, която продължава от февруари. Тя използва програма за изтегляне на зловреден софтуер, известна като Emmenhtal и PeakLight, преди това разпространявана по имейл. Експерти от Talos са открили вариант на Emmenhtal като част от търговска MaaS операция, само че този път GitHub е източникът на разпространение.
Отличителна черта на атаката е инсталирането на зловредния софтуер Amadey на компютрите на жертвите. Този малуер е открит за първи път през 2018 г., когато е използван за създаване на ботнети.
Основната функция на Amadey е да събира системна информация от заразените устройства и да изтегля вторични полезни товари в зависимост от конфигурацията на системата и целите на конкретната атака. След заразяване на дадена система с Amadey, операторите на кампанията определят кои полезни товари да изпратят към устройството, използвайки прост URL адрес в GitHub.
Скриптовете на Emmenhtal в случая имат същата четирислойна структура: три слоя служат за обфускация, а четвъртият действа като програма за изтегляне, имплементирана като PowerShell скрипт. Зловредният софтуер в GitHub е маскиран като MP4 файлове, а програмата за изтегляне на Python е наречена checkbalance.py.
