Mar 01, 2024 Attacchi, Minacce, News, Phishing, RSS

---

I ricercatori di Apiiro, fornitore di soluzioni unificate di sicurezza, hanno individuato l’espansione di una campagna di repository confusion che finora ha impattato migliaia di repo GitHub. La campagna, cominciata a metà dello scorso anno, ha avuto un picco negli ultimi mesi.

Negli attacchi di repository confusion gli attaccanti mirano a far scaricare alle vittime il proprio codice infetto invece di quello reale. Generalmente gli attaccanti clonano il repo target, lo infettano con payload di malware e lo caricano su GitHub con lo stesso nome. Per aumentare le possibilità di download, effettuano centinaia di fork e poi promuovono il repository sul web, usando forum e chat di sviluppatori.

Dopo che i developer hanno scaricato il repository, il payload nascosto installa il malware che raccoglie credenziali di login da diverse applicazioni, password e cookie del browser, oltre ad altri dati sensibili, e li invia al server C2 degli attaccanti.

Molti dei repository malevoli sono stati rimossi da GitHub per via delle centinaia di fork, ma molti altri sono riusciti a eludere i controlli della piattaforma.  I ricercatori spiegano che la campagna avviene su larga scala, quindi il numero di repository ancora online si aggira intorno alle centinaia di migliaia; considerando anche i repo rimossi, si parla di milioni di applicazioni malevole. Non solo: vista l’ampia portata degli attacchi, essi generano una sorta di rete di “ingegneria sociale di secondo ordine” nel momento in cui gli sviluppatori condividono i repo dannosi senza sapere che contengono malware.

La tecnica di repository confusion su GitHub ha diversi vantaggi: in primis, la piattaforma ospita talmente tanti repo che, nonostante le istanze malevole siano molte, queste rappresentano comunque una porzione insignificante del totale ed è quindi difficile individuarle; inoltre, in questa campagna non vengono sfruttati i package manager, e ciò rende più complesso riconoscere i repo malevoli; infine, poiché i repository colpiti sono poco conosciuti e utilizzati solo da una nicchia di sviluppatori, è più semplice trarre in inganno gli utenti.

“GitHub è stata avvisata del problema e la maggior parte dei repository malevoli sono stati eliminati” scrivono i ricercatori, “ma la campagna continua e gli attacchi che tentano di iniettare codice malevolo nella supply chain stanno diventando sempre più diffusi“.

Oltre a chiedere agli sviluppatori di controllare attentamente i repository che stanno scaricando, Apiiro consiglia alle organizzazioni di implementare soluzioni per il monitoraggio del codice, sfruttando tecniche di analisi basate su IA per individuare porzioni di codice sospette.

---

• GitHub, ingegneria sociale, payload, Phishing, repository, repository confusion

---

---