Banana Squad ukrywa złośliwe oprogramowanie kradnące dane w fałszywych repozytoriach GitHub

Badacze z ReversingLabs niedawno odkryli nową i niepokojącą metodę ataku prowadzoną przez grupę o nazwie Banana Squad. Ta grupa, po raz pierwszy zidentyfikowana przez badaczy z Checkmarx w październiku 2023 r., jest znana ze swoich podstępnych metod, a jej nazwa pochodzi od wczesnego szkodliwego adresu internetowego, bananasquadru .

Zespół ReversingLabs, w tym główny badacz złośliwego oprogramowania Robert Simmons, znalazł ponad 60 fałszywych folderów projektu, zwanych repozytoriami, na GitHub . Te foldery wyglądały jak prawdziwe narzędzia do hakowania komputerów napisane w Pythonie, ale w rzeczywistości były trojanizowane, co oznacza, że ​​zawierały ukryty złośliwy kod.

W swoich wcześniejszych atakach, począwszy od kwietnia 2023 r., Banana Squad wypuścił setki złych pakietów oprogramowania pod różnymi nazwami użytkowników, zauważyli badacze we wpisie na blogu udostępnionym Hackread.com. Programy te zostały zaprojektowane dla komputerów z systemem Windows i miały na celu „kradzież dużych ilości poufnych danych”, w tym informacji z komputerów, aplikacji, przeglądarek internetowych, a nawet portfeli kryptowalutowych poprzez przekierowywanie pieniędzy.

Te złe pakiety zostały pobrane prawie 75 000 razy, zanim zostały znalezione i usunięte. Niedawno, w listopadzie 2024 r., szkodliwy projekt Banana Squad, znaleziony na dieserbenniru , pokazał nową sztuczkę. Wykorzystali funkcję GitHub, w której długie linie kodu nie zawijają się.

Ponadto atakujący dodali wiele spacji, aby wypchnąć swój złośliwy kod poza ekran, czyniąc go niewidocznym dla kogoś, kto po prostu na niego patrzy. To znacznie utrudnia dostrzeżenie ukrytego zagrożenia. Fałszywe konta użytkowników, często z wymienionym tylko jednym projektem, są powszechnie używane przez Banana Squad do hostowania tych szkodliwych repozytoriów.

Oprócz konkretnych działań Banana Squad, ogólny wzrost ryzyka OSS wskazuje na trwające problemy. Nowy raport na rok 2025 z ReversingLabs pokazuje zmieniający się obraz bezpieczeństwa oprogramowania open source (OSS).

Chociaż ogólna liczba złośliwego oprogramowania znalezionego w repozytoriach OSS znacznie spadła w 2024 r. – o 70% na platformach takich jak npm, PyPI i RubyGems w porównaniu z 2023 r. – ryzyko dla rozwoju oprogramowania wynikające z OSS w rzeczywistości rośnie.

Ci aktorzy zagrożeń stają się coraz mądrzejsi. Używają bardziej ukrytych i złożonych sposobów ataku, zwłaszcza na platformach takich jak GitHub, zamiast po prostu przesyłać proste złośliwe oprogramowanie. Ten pozytywny trend w redukcji złośliwego oprogramowania jest częściowo zasługą lepszych środków bezpieczeństwa, w tym obowiązkowego uwierzytelniania dwuskładnikowego (2FA) i repozytorium złośliwych pakietów OpenSSF, uruchomionego w 2023 r .

Inne raporty wskazują na problemy takie jak wzrost liczby tajnych wycieków w 2024 r., w których ujawniane są poufne dane logowania. Ponadto analiza najlepszych pakietów OSS ujawniła wiele luk w zabezpieczeniach i gnicie kodu – poleganie na starym, nieutrzymywanym kodzie. Oznacza to, że popularność nie jest równoznaczna z bezpieczeństwem. Rozwijające się zagrożenie oznacza, że ​​każdy, kto korzysta z oprogramowania typu open source, musi być bardziej czujny i używać lepszych narzędzi, aby chronić się przed grupami takimi jak Banana Squad i innymi pojawiającymi się zagrożeniami.