Опрос
|
реклама
Быстрый переход
Хакеры приспособили GitHub для массового распространения вредоносов как услуги
18.07.2025 [12:55],
Павел Котов
Эксперты отдела безопасности Cisco Talos раскрыли оператора вредоносных программ как услуги (Malware-as-a-Service, MaaS), который использовал публичные учётные записи на GitHub для распространения различных вредоносов. 
Источник изображения: Rubaitul Azad / unsplash.com GitHub стал для хакерского сервиса простой и надёжной платформой, которая воспринимается как доверенная во многих корпоративных сетях: компании сами используют её как репозиторий кода при разработке собственного ПО, поэтому домен сервиса, как правило, не блокируется веб-фильтрами. Во многих организациях с отделами разработки доступ к GitHub необходим в той или иной форме. После получения уведомления от Talos администрация GitHub удалила три учётные записи, на которых размещалось вредоносное ПО. Инцидент связан с кампанией, продолжающейся с февраля. В ней используется загрузчик вредоносного ПО, известный под названиями Emmenhtal и PeakLight, который ранее распространялся через электронную почту. Эксперты Talos обнаружили тот же вариант Emmenhtal в рамках коммерческой операции MaaS — только теперь источником распространения стал GitHub. Отличительной чертой этой атаки стала установка на компьютеры жертв платформы Amadey. Эту вредоносную программу впервые обнаружили в 2018 году, и изначально она использовалась для создания ботнетов. Основная функция Amadey — сбор системной информации с заражённых устройств и загрузка вторичных полезных нагрузок в зависимости от конфигурации системы и целей конкретной атаки. После заражения системы вредоносом Amadey операторы кампании определяли, какие именно нагрузки направить на устройство, используя простой URL-адрес GitHub. Скрипты Emmenhtal в данном случае отличались одинаковой четырёхслойной структурой: три слоя служили для обфускации, а четвёртый выполнял функцию загрузчика, реализованного в виде скрипта PowerShell. Вредоносное ПО на GitHub маскировалось под MP4-файлы, а загрузчик на Python носил имя checkbalance.py. |
© 1997—2025 Электронное периодическое издание "3ДНьюс" | Свидетельство о регистрации СМИ Эл ФС 77-22224
выдано Федеральной Службой по надзору за соблюдением законодательства в сфере массовых коммуникаций и охране культурного наследия
При цитировании документа ссылка на сайт с указанием автора обязательна. Полное заимствование документа является
нарушением
российского и международного законодательства и возможно только с согласия редакции 3DNews.
MWC 2018
2018
Computex
IFA 2018
