Automatizált farmolással trükköztek a kiberbűnözők a GitHubon

ellatasilanc-tamadas

Brutális méretű ellátásilánc-támadást lepleztek le a biztonsági kutatók, amely közvetlenül a fejlesztőket vette célba.

Rejtett PowerShell-kód a szkennerben

A Socket kiberbiztonsági vállalat szakértői rántották le a leplet az Operation Muck and Load névre keresztelt kiberbűnözői kampányról. A támadók egy ártalmatlannak tűnő, nyílt forráskódú DNS- és aldomain-szkenner modulnak álcázták a kártékony programjukat. A gyanútlan fejlesztők megtévesztésére egy legitim projekt (dnsub) kódját másolták le, ám a háttérben egy kiterjedt fertőzési láncot indítottak el.

A kártékony Go modulba egy rejtett PowerShell-parancsot ágyaztak be, amelyet rengeteg horizontális szóköz használatával próbáltak elrejteni a kódvizsgáló szemek elől. Amikor a modul lefutott, ez a szkript megkerülte a Windows végrehajtási szabályzatait, és külső platformokról – többek között a Pastebin, a Telegram, az Instagram és a YouTube felületeiről – titkosított adatokat hívott le. A folyamat végén a rendszerre különböző trójai programok, zsarolóvírusok, jelszólopók és kriptobányász szoftverek (például az AsyncRAT, a Quasar RAT és a Vidar infostealer) települtek jelszóval védett archívumokból.

Több mint kétszáz csapda várta a gyanútlanokat

Az Operation Muck and Load mögött álló csoport rendkívül tudatosan építette fel az infrastruktúráját. A nyomozás során kiderült, hogy a kiberbűnözők összesen 222 megtévesztő GitHub-tárhelyet (repository-t) hoztak létre 190 különböző felhasználói fiók alatt. Hogy a projektek valódinak és aktívnak tűnjenek, automatizált GitHub Actions munkafolyamatokat használtak, amelyek folyamatosan generálták a hamis aktivitást, az úgynevezett commit-farmingot.

A kampány során a kártékony modulnak több mint 700 különböző verzióját publikálták 2026 januári indulása óta. A csapdaként használt tárhelyekkel kifejezetten olyan felhasználókat és fejlesztőket céloztak meg, akik kriptovaluta-eszközöket, tárcakezelő segédprogramokat, játékcsalásokat vagy offenzív biztonsági eszközöket kerestek a platformon. A kutatók legalább 14 teljesen egyedi, megerősítetten kártékony fájlt azonosítottak a vizsgált fiókok hálózatában.

Azonnali tiltás és a védekezés lehetőségei

A felfedezést követően a kártékony Go modult azonnal letiltották a hivatalos Go proxy szolgáltatásból, és a GitHub felé is megtették a szükséges jelentéseket a fiókok felszámolására. Az elemzések szerint az akció átfedést mutat egy korábban megfigyelt, egy bizonyos „ischhfd83” e-mail-címhez köthető kiberbűnözői tevékenységgel, amely szintén hátsó ajtókat helyezett el különféle repozitóriumokban.

Karakterisztika Operation Muck and Load Részletek
Álcázott funkció Go-alapú DNS és aldomain szkenner (dnsub)
Érintett GitHub fiókok 190 egyedi profil
Fertőzött tárhelyek száma 222 csapda repozitórium
Kiadott kártékony verziók Több mint 700 variáns
Végső kártevők AsyncRAT, Quasar RAT, Remcos, Vidar infostealer, Monero bányászprogramok

A fejlesztőknek a jövőben még óvatosabbnak kell lenniük a külső függőségek letöltésekor. A szakértők azt javasolják, hogy a projektek építése során mindig használják a go mod verify parancsot, amely ellenőrzi, hogy a helyi gyorsítótárban lévő modulok nem módosultak-e a letöltés óta. Emellett a go list -m all paranccsal érdemes teljes körűen átvilágítani a függőségi fát, hogy transzparensé váljon, ha egy egyszerű eszköz gyanús, ismeretlen al-függőségek tucatjait próbálja behúzni a háttérben.