Minaccia crittografica: il malware si infiltra in Github clonando migliaia di repository

La piattaforma per sviluppatori Github è stata inondata di malware che si è infiltrato in decine di migliaia di repository.

Secondo un ricercatore di sicurezza, fino a 35.000 repository Github sono stati clonati con malware.

L'attacco malware diffuso non ha preso di mira specificamente i repository crittografici (repos), ma sono stati tra quelli colpiti.

L'ingegnere del software Stephen Lacy ha allertato la comunità crittografica dell'incursione il 3 agosto.

Sto scoprendo quello che sembra essere un massiccio attacco malware diffuso su @github .
– Attualmente oltre 35.000 repository sono infetti
– Finora trovato in progetti tra cui: crypto, golang, python, js, bash, docker, k8s
– Viene aggiunto agli script npm, alle immagini docker e ai documenti di installazione pic.twitter.com/rq3CBDw3r9
— Stephen Lacy (@stephenlacy) 3 agosto 2022

Clonazione dei repository Github

Il portale tecnologico Bleeping Computer ha riferito che i repository non sono stati violati ma sono stati copiati con i loro cloni modificati per includere il malware. La clonazione del codice open source è una pratica comune tra gli sviluppatori, tuttavia, gli aggressori hanno iniettato codice dannoso e collegamenti in progetti legittimi per prendere di mira sviluppatori ignari.

Diversi progetti di criptovalute, Golang, Python, JavaScript, Bash, Docker e Kubernetes sono stati colpiti dall'attacco, ha osservato il ricercatore.

Durante la revisione di un progetto che aveva trovato da una ricerca su Google, l'ingegnere ha notato un URL dannoso nel codice. La scansione dei repository Github per questo URL ha restituito più di 35.000 risultati.

Bleeping Computer ha affermato che più di 13.000 risultati di ricerca provenivano da un unico repository chiamato "redhat-operator-ecosystem". L'URL dannoso "estraeva le variabili di ambiente di un utente ma conteneva inoltre una backdoor di una riga", aggiungeva il rapporto.

Queste variabili di ambiente possono contenere dati sensibili come chiavi API, token, credenziali Amazon AWS e chiavi crittografiche. Il malware consente inoltre agli aggressori remoti di eseguire codice arbitrario sui sistemi di tutti coloro che installano ed eseguono i cloni.

La maggior parte dei repository clonati era apparsa nell'ultimo mese, afferma il rapporto.

Github ha confermato che i repository originali non erano stati compromessi e che aveva ripulito o messo in quarantena i cloni.

GitHub sta indagando sul Tweet pubblicato mercoledì 3 agosto 2022:
* Nessun repository è stato compromesso
* Il codice dannoso è stato pubblicato nei repository clonati, non nei repository stessi
* I cloni sono stati messi in quarantena e non c'era alcuna compromissione evidente di GitHub o account del manutentore
— GitHub Security (@GitHubSecurity) 3 agosto 2022

Il mese scorso, BeInCrypto ha riferito che un nuovo ceppo di malware scritto in Rust stava facendo il giro. Luca Stealer prende di mira i sistemi operativi Windows e ruba informazioni sensibili come le informazioni sul portafoglio crittografico. Il malware è stato distribuito anche su Github.

Settimana miserabile in criptovaluta

Il ricercatore DeFi Miles Deutscher ha sottolineato che non è stata una grande settimana nel settore delle criptovalute. All'inizio di questa settimana il ponte Nomad è stato sfruttato per 190 milioni di dollari e poche ore dopo, circa 8.000 portafogli Solana sono stati violati provocando il furto di circa 8 milioni di dollari.

Gli ultimi 5 giorni in cripto:
• $ 100 milioni $ UN hack.
• Hacking del ponte Nomad da 190 milioni di dollari (il quarto exploit DeFi più grande della storia).
• Hacking della chiave privata $SOL (oltre 8.000 portafogli interessati).
• Attacco malware GitHub (35.000 repository infetti).
— Miles Deutscher (@milesdeutscher) 3 agosto 2022

Tuttavia, i mercati sembrano non essere influenzati poiché la capitalizzazione totale ha guadagnato l'1,7% nel corso della giornata per raggiungere $ 1,12 trilioni al momento della stesura.

Il post Minaccia crittografica: il malware si infiltra nella clonazione di Github Migliaia di repository sono apparsi per la prima volta su BeInCrypto .