The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

На GitHub выявлено 73 репозитория с бэкдорами

04.03.2019 22:51

Исследователи безопасности из команды "dfir it" выявили на GitHub цепочку учётных записей, предлагающих подложные репозитории с библиотеками и сборками различных проектов, включающими вредоносный код для получения контроля за системой пользователя. Всего было выявлено 73 репозитория с вредоносным кодом и несколько сотен бинарных файлов в формате ELF, JAR и PE, содержащих бэкдоры. В настоящее время все связанные с выявленной вредоносной активностью учётные записи уже удалены с GitHub.

В ходе классификации вредоносных вставок был выделен 41 вариант бэкдоров, созданных на основе нескольких типовых реализаций для получения удалённого контроля за системой (например, применялись supremebot, elitesubot и blazebot). В большинстве случаев вредоносный код обеспечивал загрузку и выполнение скрипта с внешнего сайта, после чего размещал в системе компоненты для удалённого управления, выполнения внешних команд и формирования ботнетов.

Интересно, что список учётных записей с вредоносным кодом был определён путём анализа социальных связей у пользователя, в коде которого изначально был найден бэкдор. Оценив пользователей, отслеживавших изменения и выставлявших "звёздочки" на GitHub (списки Watch и Star) было выделено 89 типовых учётных записей, созданных примерно в одно время и распространявших код с бэкдорами. Некоторые учётные записи не содержали собственных репозиториев и использовались исключительно для поднятия рейтинга вредоносных репозиториев в результатах поиска на GitHub. Злоумышленники рассчитывали на то, что кто-то воспользуется предлагаемыми ими файлами вместо использования официальных сборок или самостоятельной сборки из исходных текстов.

Проблемные репозитории включали форки или бинарные сборки известных проектов, таких как FFmpeg, LAME, JXplorer и EasyModbus, изменённые с целью получения контроля за системами пользователей. Бэкдоры были сформированы для Linux, Windows и macOS. Например, в 9 репозиториях пользователя adunkins (Andrew Dunkins) было найдено 305 исполняемых файлов с бэкдорами, в том числе поставлявшиеся под видом инструментариев OpenWRT, Linaro и MinGW.

  1. Главная ссылка к новости (https://dfir.it/blog/2019/02/2...)
  2. OpenNews: Особенность отображения проектов на GitHub создала видимость внедрения бэкдора в ядро Linux
  3. OpenNews: Выявлен 21 вид вредоносных программ, подменяющих OpenSSH
  4. OpenNews: Бэкдор в зависимости к event-stream, популярной библиотеке для Node.js
  5. OpenNews: Злоумышленники добавили вредоносный код в скрипт установки хостинг-панели VestaCP
  6. OpenNews: Выявлена попытка включения бэкдора в популярный NPM-пакет mailparser
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/50247-github
Ключевые слова: github, backdoor
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (37) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, microcoder (ok), 23:07, 04/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –28 +/
    > изменённые с целью получения контроля за системами пользователей

    Расскажите, а что у пользователя можно контролировать? Фоточки? Чем интересуются конкретно те, кто внедряет код? Что там такого ценного, чего нельзя найти в соцсетях?

     
     
  • 2.2, Аноним (2), 23:20, 04/03/2019 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Можно спам рассылать, DDoS-ить, майнить и сниффить локальную сеть на предмет паролей и прочих конфедерциальных данных. Этого достаточно. Кстати, фотки  некоторые вредоносы тоже  сливают, в надежде, что там будет домашняя порнография или другие поводы для шантажа.
     
     
  • 3.5, microcoder (ok), 23:35, 04/03/2019 [^] [^^] [^^^] [ответить]  
  • –15 +/
    Я так понимаю, корпоротивные сети и компьютеры в данном случае можно полностью исключить, так как администраторы такое врядли пропустят?

    Ну допустим появился у меня как у рядового пользователя бэкдор или какая-либо другая лазейка. Допустим, украли аккаунты и пароли к ним. Какой я получу материальный ущерб? Скорее никакой, так как в наиболее важных местах установлена двуфакторная аутентификация. Только могу лишится нематериальных каких-то ресурсов? Просто получу вред, потеряю время, какие-то лайки, звездочки и привелегии на аккаунтах форумов, соцсетей. Что получат мошенники?

    Из всего перечисленного, серьёзным вредом выделяется майнинг и DDoS. Какие средства есть в Линуксе для борьбы с этим?

     
     
  • 4.7, Xasd5 (?), 23:41, 04/03/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    ды просто все вордовские файлы зашифруют (в надеждечто нет бэкапа) -- и будут шантажировать на получение пароля.
     
  • 4.12, Crazy Alex (ok), 01:00, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да что угодно. От банального спама/ддоса/майнинга и чуть менее банального угона кредиток и подобного (блин, да тот же скан паспора у каждого второго лежит) до более целенаправленных атак на интересных жертв. Те же креденшлы доступа к корпоративным сетям - запросто. Кстати, двухфакторка вида TOTP SMS не факт, что поможет - протроянить смартфон при уже поломанном ПК - задача решаемая. Атака на разработчиков - есть шанс добраться до коммерческих секретов или протроянить софт, который они пишут.

    Ну а каким манером "корпоротивные сети и компьютеры в данном случае можно полностью исключить" - даже не знаю. Так и запретили скачивать тулзы от linaro с гитхаба, угу. Или EasyModbus тот же. И пошёл троян гулять по клиентским системам...

     
     
  • 5.15, microcoder (ok), 01:22, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Ну а каким манером

    Насколько я понял, то внедряется вредоносный код в исходники. Каким образом вредоносный скомпилированный бинарник может взломать сеть, пройти ACL, пробить ядро линукса другой машины/сервера, заменить существующие бинарники, чтобы размножаться... ну не знаю... Если такое возможно, то зачем тогда гитхаб в этом случае?

    А если разрешено каждому Васе в корпорации лезть на гитхаб, качать проект, компилировать его на локальной машине.. Зачем тогда админы нужны в корпорации? Я тут даже и не знаю, может я ошибаюсь...

     
     
  • 6.20, Crazy Alex (ok), 02:50, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Гитхаб - понятно зачем. 1) чтобы заставить запустить левую софтину - разработчики сейчас дрессированные, смотрят, откуда бинари качают. А тут - может и прокатить, особенно если самосбор. 2) засунуть в либу - вообще золото, если не заметят - разъедется по юзерским машинам вместе с софтиной, которая использует протрояненную либу. А дальше - какие, на фиг, ACL? Это разве что в банках софту разрешат ходить на полтора сайта, обычно же - если есть хоть какие-то сетевые возможности (а сейчас они есть вообще у всего) - то вперёд, получать команды/подгружать пейлоад из интернета. А дальше уж вопрос к пейлоаду что именно он умеет делать - от шелла до шифровальщика.

    P.S. А что, бывают концлагеря, где разработчикам запрещено сказать и скомпилировать проект с гитхаба? Даже не слышал о таких. Лично я бы с такими психами связываться не стал.

     
     
  • 7.29, microcoder (ok), 08:36, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > А что, бывают концлагеря, где разработчикам запрещено сказать и скомпилировать проект с гитхаба?

    Если существуют такие разработчики, что не проверяют что и откуда компилят, то "концлагеря" разумное решение в этой "помойке" ))

     
  • 4.14, Аноним84701 (ok), 01:22, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Скорее никакой, так как в наиболее важных местах  установлена двуфакторная аутентификация.

    Во-первых, чтобы не "докучать" пользователю каждый раз, оно может быть вот примерно таким (amazon)
    > We use cookies to remember your preferences, so you will not be asked to enter a security code upon each sign-in. If you clear your cookies or use a different browser or device, you may be asked again for verification

    Во-вторых:
    c полным контролем машины можно добавить "правильный" корневой сертификат и "правильный" DNS, подменить номер счета при переводе или просто перенаправить вас на прозрачный прокси и подождать, когда вы сами отошлете туда ваш "второй фактор".
    Аутентификация на два канала тоже взламывалсь еще лет шесть назад -- тот же Eurograbber (вариант Зевса) спер под полсотни миллионов у.е. с портретами мертвых президентов, несмотря на необходимость подтвержения каждой трансакции отсылкой TAN по SMS (т.е. через телефон).

    Ну и по мелочи – Social Engineering, плюс от вашего имени можно что-то замутить -- звездочки там порасставлять, полайкать для накрутки рейтинга очередной конторы "Рога и Копыта".

    Опять же, ваш компютер будет отличным socks-proxy для кардеров и прочих сомнительных личностей (еще лет десять назад за пачку таких проксей на соотв. ресурсах давали $5/20шт/на пару недель-месяц).

     
     
  • 5.16, microcoder (ok), 01:43, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > подменить номер счета при переводе

    Так для этого у банка есть защита - присылает код подтверждения и номер счета куда перевод осуществляется. Может это в каких-то других случаях работает, не знаю.

    > на прозрачный прокси и подождать, когда вы сами отошлете туда ваш "второй фактор"

    А как они расшифруют HTTPS чтобы получить данные на прокси? Я не помню точно, как это работает, но приватный ключ то у банка находится? Или придётся им полностью функционал банка повторить и направить меня через "правильный" DNS на эту копию? Насколько это вообще реально и были ли такие истории с банками?

    > Ну и по мелочи – Social Engineering

    Ну да, вот это реальнее. Нервы потрепят.

     
     
  • 6.21, Аноним84701 (ok), 02:55, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Так для этого у банка есть защита - присылает код подтверждения и
    > номер счета куда перевод осуществляется. Может это в каких-то других случаях  работает, не знаю.

    Присылает теперь. Совсем не от хорошей жизни -- поисковик "banking trojan" в помощь.
    Опять же, можно "нарисовать" (подменив на странице локальным скриптом) "нужный" номер кошелька/счета  сразу на показываемой странице, тогда номер будет совпадать с присланным.

    > А как они расшифруют HTTPS чтобы получить данные на прокси? Я не помню точно, как это работает, но приватный ключ то у банка находится?

    Точно так же, как и вы его расшифровываете, хотя ключ вроде как у банка (если не помните точно, то почитайте, что ли -- понимание принципа работы всегда пригодится).
    Только соединение у вас с ними, а у них уже -- с банком. HTTPS спасает от "Васяна посередине", который решил вклинится в ваше соединение с банком. Но если "Васян" целиком контролирует ваш браузер, то …

    > Или придётся им полностью функционал банка повторить и направить меня
    > через "правильный" DNS на эту копию? Насколько это вообще реально и были ли такие истории с банками?

    Это вообще классика фишинга. Тем более, при возможности добавить свой корневой сертификат и атаке посредника, ничего самому рисовать не надо -- только  попускать, попутно "фильтруя", через свой прокси ваше соединение с банком.

    Ну и кроме банков есть куча других страниц -- интернет-магазины, аукционы и прочее.

     
  • 6.22, Crazy Alex (ok), 02:57, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Угу, и дай бог, чтобы на сумму посмотрели, а не тупо ввели код, о номере счёта я и не говорю. Кстати, visa 3d secure, например, только сумму и присылает, но не получателя.

    Подменить всё и вся - да запросто. Вот, например, первое, что попалось: https://xakep.ru/2019/01/10/modlishka/

     
  • 2.3, Final Countdown (?), 23:27, 04/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    написано же, бекдор
     
  • 2.4, Онаним (?), 23:35, 04/03/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Бэкдорчиком можно много весёлого делать. Например, заходит юзер на страницу оплаты его любимого корма для котов, нажимает "оплатить", а бэкдорчик читает сумму и фигачит его на страницу оплаты корма для котов автора бэкдора. Далее разборчивый юзер поймёт, что что-то не то, и страница оплаты непривычная, а вот хомяк типовой - так и оплатит автору бэкдора корзинку корма остатками со своей кредитки.
     
     
  • 3.6, Онаним (?), 23:36, 04/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, не сам бэкдорчик, payload, но сути не меняет.
     
  • 3.8, maks (??), 00:16, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Как-то где-то мелькали новости о том, что у каких-то там крутых погромистов угоняли пароли путем подстановки формы, так что сложно заметить подмену, если ты изначально не ждешь подвоха.
     
  • 2.10, Аноним (10), 00:31, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Активность на опеннете мониторить
     
  • 2.32, Аноним (32), 11:42, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Как думаешь какой процент пользователей хранит пароли в менеджерах паролей, а какой в обычном текстовом файле? Кроме того каталог профиля firefox можно скопировать между машинами - и он будет запускаться как не бывало со всеми активными куками, и отобразит все сохраненные пароли так как обычно мастер пароль никто не устанавливает.
     

  • 1.11, Аноним (11), 00:45, 05/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    сборки уже заряжены этим от производителя по регионам Rus Eng Ua Kz, доступ за огромные суммы, ежегодно, ежемесячно, по часам, разные уровни доступа. Сбор данных, гос безопасность. Клиенты; налоговая, страховая, почта росии (хз зачем). Спалился, потерял больше...
     
     
  • 2.13, Аноним (13), 01:22, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    О_о
    *музыка из Х-files*
    Товарищ, вы о чём? Или у вас мания преследования?
    Если уж на то пошло - где пруфы или вообще какие-либо обоснования ваших слов?
     
     
  • 3.24, Аноним (24), 06:31, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Держи пруф https://www.opennet.me/opennews/art.shtml?num=50247
     
     
  • 4.27, Аноним (13), 08:25, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет, кроме опеннета. Да и пруфы именно не вообще наличия бекдоров сферически в вакууме, а про за зараженность ими официального контента ("любознательность" юзверей - не в счёт). А то пока что это треп и не более.
     

  • 1.17, vitalif (ok), 01:51, 05/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Всего 73?....
     
     
  • 2.18, Аноним (18), 02:10, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вам известно больше?
     
     
  • 3.25, Аноним (25), 07:00, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Нужно было чтобы огласили весь список, а не те кто им не заплатил.
    Есть вариант что как раз кто заплатил гнобят конкурентов ...
     
     
  • 4.28, Аноним (28), 08:29, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Есть вариант что как раз кто заплатил гнобят конкурентов ...

    Крайне интересная теория заговора от скрипт-кидди adunkins.

     
  • 2.26, ананим.orig (?), 08:14, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Всего 73 нашли
     

  • 1.23, Аноним (28), 06:04, 05/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > в 9 репозиториях пользователя adunkins (Andrew Dunkins)
    > было найдено 305 исполняемых файлов с бэкдорами

    Вот это скрипт-кидди и спамит тут "даешь свободу".

     
  • 1.30, Аноним (30), 10:08, 05/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Всё как и предсказывалось. Напомню: ещё было предсказание о скупке у авторов популярных библиотек их GitHub аккаунтов.
     
  • 1.31, Anon_Erohin (?), 10:20, 05/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Я считаю после такого скандала GitHub нужно закрывать. Блин после покуки мелкомягкими они стали рассадником ПО с бекдорами, куда международные организации смотрят? А ну да, это же микрософт с их баблом...
     
     
  • 2.33, Аноним (28), 11:43, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И что примечательно: до покупки "мелкомягкими" скрипт-киддисы хорошо себя на Гитхабе чувствавали, а тут началось.
     
  • 2.39, Ключевский (?), 20:16, 07/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Я считаю после такого скандала GitHub нужно закрывать. Блин после покуки мелкомягкими
    > они стали рассадником ПО с бекдорами, куда международные организации смотрят? А
    > ну да, это же микрософт с их баблом...

    На каком основании закрывать? Причина «не понравилось русскочелюстному анониму»? Ну так в мире плевать на тебя и твоих тараканов

     

  • 1.34, Аноним (34), 13:37, 05/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > "В настоящее время все связанные с выявленной вредоносной активностью учётные записи уже удалены с GitHub."

    двое уже возродились:
    https://github.com/burhanick
    https://github.com/bucka23

     
  • 1.35, Аноним (35), 16:09, 05/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Может быть прикрутить антивирус Касперского к GitHub?
     
     
  • 2.36, Аноним (36), 02:17, 06/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> антивирус Касперского

    А это кгбэшное зачем там? Что бы еще один троян добавить?

     
     
  • 3.37, Аноним (28), 09:39, 06/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Очевидно, потому что аэнбэшное из-за встроенных десятка троянов не справилось.
     

  • 1.40, InuYasha (?), 12:39, 08/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ждите разгромных статей "Опенсорс это опасно!!!!1111!" на блумберге и первом анале.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру