Nel maggio scorso alcuni hacker hanno avviato una pericolosa campagna di distribuzione di malware che ha colpito almeno 100.000 repository presenti su GitHub, compromettendo gli utenti che hanno scaricato i pacchetti dannosi. Questa campagna, scoperta dalla società di sicurezza Apiiro, ha utilizzato una strategia astuta che ha permesso al malware di diffondersi rapidamente e silenziosamente.
L’approccio adottato per il malware dai criminali informatici prevedeva la clonazione di repository legittimi su GitHub. Successivamente, hanno infettato questi repository clonati con un payload dannoso e caricati sulla piattaforma con lo stesso nome dei repository originali. In questo modo, i fork dei repository infetti sono stati replicati migliaia di volte e diffusi su forum e canali social, raggiungendo un vasto pubblico di potenziali vittime. Ciò significa che molti utenti hanno scaricato repository che sembravano legittimi, ma che in realtà contenevano codice dannoso. Una volta aperti, questi pacchetti eseguono codice Python pericoloso e un eseguibile binario, consentendo agli hacker di raccogliere dati sensibili come password, credenziali di accesso e persino cookie del browser.
Il funzionamento del malware e la sua veloce diffusione
Il codice maligno utilizzato in questa campagna è una versione modificata di BlackCap-Grabber, un malware progettato per raccogliere e inviare dati sensibili al server C&C degli aggressori. I fautori hanno progettato questo codice malevolo con tecniche sofisticate per nascondere la sua presenza, tra cui l’uso della funzione exec con una tecnica nota come “exec smuggling“, che aggiunge spazi bianchi per rendere la funzione meno visibile durante i controlli manuali.
La campagna di distribuzione di malware è una seria minaccia per gli sviluppatori e gli utenti di GitHub, che potrebbero ora essere esposti a rischi per la sicurezza dei loro dati e delle loro informazioni personali. La società è al corrente della situazione e sta lavorando per affrontare il problema e proteggere la sua comunità dagli attacchi informatici.
L’azienda ha incoraggiato gli utenti ad essere vigili e a prendere precauzioni aggiuntive quando scaricano e utilizzano repository da fonti non attendibili. Prima di qualsiasi azione, verificate l’autenticità e prestate attenzione a eventuali segnali di avvertimento che potrebbero indicare la presenza di malware o codice dannoso.