Специалисты компании Socket обнаружили вредоносный модуль Go, который выдавал себя за DNS-сканер и распространялся через 222 репозитория на GitHub.
Специалисты компании Socket обнаружили вредоносный модуль Go, который выдавал себя за DNS-сканер и распространялся через 222 репозитория на GitHub.
Компания Socket, занимающаяся безопасностью цепочки поставок ПО, опубликовала отчет о масштабной кампании. Злоумышленники создали поддельный модуль для языка Go, который выглядел как легитимный сканер DNS-записей. На самом деле он загружал на компьютеры жертв вредоносные программы. Кампания получила название Operation Muck and Load.
Изображение: Tom's Hardware
Вредоносный модуль появился на GitHub 24 января. С тех пор злоумышленники опубликовали более 1200 версий, из которых как минимум 700 содержали вредоносный код. Специалисты Socket отследили их до 222 репозиториев, принадлежащих 190 учетным записям.
Для массового создания версий авторы использовали автоматизированный процесс. Система контроля версий Git позволяет назначать номер версии на основе времени коммита. Злоумышленники настроили GitHub Actions так, чтобы каждую минуту создавать новый коммит с переписанной историей. При этом они оставляли один повторяющийся идентификатор — адрес электронной почты ischhfd83@rambler.ru.
Сам модуль содержал скрытую PowerShell-команду. Она скачивала данные с сайта muckcoding.com, декодировала их и запускала на выполнение. Следующий слой скрипта использовал кодировку Base64 и XOR-шифрование. В одном из фрагментов исследователи нашли комментарий на турецком языке: "запускай напрямую, никаких дополнительных действий не нужно".
Вместо жестко заданного адреса загрузчика злоумышленники размещали зашифрованные ссылки на публичных площадках: Pastebin, Rlim, YouTube, Telegram, Google Docs и GitCode. Основной архив с вредоносной программой хранился на GitHub и был защищен паролем. Если одну ссылку блокировали, авторы могли обновить данные в другом месте, не меняя сам модуль.
🔥 Это может быть вам так же интересно:☟
Разработчики все чаще переходят с GitHub на Codeberg и собственные серверы
После распаковки архив создавал папку, похожую на установочную директорию Microsoft Photos, и запускал оттуда исполняемый файл. Среди обнаруженных вредоносных программ — трояны удаленного доступа AsyncRAT, Quasar и Remcos, похититель данных Vidar, а также криптомайнер XMRig для добычи Monero. Модуль маскировали под различные полезные инструменты: интеграции с MetaMask и Trust Wallet, утилиты для работы с сид-фразами, автоматизацию Binance и PayPal, ботов для Telegram и Discord, а также читы для игр PUBG, Valorant и Escape from Tarkov.
Специалисты Socket связывают эту кампанию с прошлогодней атакой, которую документировала компания Sophos. Тогда злоумышленники использовали те же адреса и домены. GitHub и команда разработчиков Go заблокировали вредоносные модули в официальном репозитории, но публичных комментариев пока не давали.