Người ta đã quan sát thấy một chiến dịch lừa đảo mới chiếm đoạt tài khoản GitHub và thực hiện mã độc được ngụy trang dưới dạng đóng góp của Dependabot nhằm mục đích đánh cắp mật khẩu từ các nhà phát triển.
“Mã độc sẽ lọc các bí mật được xác định của dự án GitHub tới máy chủ C2 độc hại và sửa đổi mọi tệp javascript hiện có trong dự án bị tấn công bằng mã phần mềm độc hại đánh cắp mật khẩu dạng web, ảnh hưởng đến bất kỳ người dùng cuối nào gửi mật khẩu của họ dưới dạng web,” Checkmarx cho biết trong một báo cáo kỹ thuật.
Phần mềm độc hại này cũng được thiết kế để nắm bắt các bí mật và biến GitHub tới máy chủ từ xa bằng GitHub Action.
Công ty bảo mật chuỗi cung ứng phần mềm cho biết họ đã quan sát thấy các cam kết không điển hình đối với hàng trăm kho lưu trữ GitHub công khai và riêng tư trong khoảng thời gian từ ngày 8 đến ngày 11 tháng 7 năm 2023.
Có thông tin nổi lên rằng các nạn nhân đã bị đánh cắp mã thông báo truy cập cá nhân GitHub của họ và bị các tác nhân đe dọa sử dụng để thực hiện các cam kết mã giả mạo đối với kho lưu trữ của người dùng bằng cách giả dạng Dependabot.
Dependabot được thiết kế để cảnh báo người dùng về các lỗ hổng bảo mật trong phần phụ thuộc của dự án bằng cách tự động tạo các yêu cầu kéo để cập nhật chúng.
Công ty cho biết: “Những kẻ tấn công đã truy cập vào tài khoản bằng cách sử dụng PAT (Mã thông báo truy cập cá nhân) bị xâm phạm – rất có thể đã bị rò rỉ một cách âm thầm khỏi môi trường phát triển của nạn nhân”. Hầu hết người dùng bị xâm nhập đều ở Indonesia.
Tuy nhiên, phương pháp chính xác mà hành vi trộm cắp này có thể xảy ra hiện vẫn chưa rõ ràng, mặc dù người ta nghi ngờ rằng nó có thể liên quan đến một gói lừa đảo do các nhà phát triển vô tình cài đặt.
Sự phát triển nêu bật những nỗ lực liên tục của một số tác nhân đe dọa nhằm đầu độc hệ sinh thái nguồn mở và tạo điều kiện cho các thỏa hiệp chuỗi cung ứng.
Điều này được chứng minh bằng một chiến dịch lọc dữ liệu mới nhắm vào cả npm và PyPI, sử dụng tới 39 gói giả để thu thập thông tin máy nhạy cảm và truyền thông tin chi tiết đến máy chủ từ xa.
Phylum cho biết các mô-đun được xuất bản trong vài ngày từ ngày 12 đến ngày 24 tháng 9 năm 2023 cho thấy sự gia tăng dần dần về độ phức tạp, phạm vi và kỹ thuật làm rối mã nguồn .
Công ty Israel cũng đang theo dõi những gì họ mô tả là một chiến dịch đánh máy lớn nhắm vào npm, trong đó 125 gói giả dạng góc cạnh và phản ứng đang được sử dụng để gửi thông tin máy đến kênh Discord từ xa.
Tuy nhiên, hoạt động này dường như là một phần của một "dự án nghiên cứu", trong đó tác giả tuyên bố rằng nó được thực hiện để "tìm hiểu xem có bất kỳ chương trình tiền thưởng lỗi nào mà tôi đang tham gia bị ảnh hưởng bởi một trong các gói hay không để tôi có thể là người đầu tiên thông báo cho họ và bảo vệ cơ sở hạ tầng của họ."
Phylum cảnh báo : “Điều này vi phạm Chính sách sử dụng được chấp nhận của npm và những loại chiến dịch này gây căng thẳng cho những cá nhân được giao nhiệm vụ giữ cho các hệ sinh thái này trong sạch” .