Checkmarx 公司研究员 Yehuda Gelb 详述了这起最近发生的攻击活动称，威胁行动者操纵GitHub 的搜索功能，下载恶意的 Visual Studio 项目。攻击者利用 GitHub Actions 自动发现恶意仓库并利用 GitHub 的星评分诱骗开发人员。

在攻击活动中，身份不明的威胁行动者创建了多个 GitHub 仓库，借诱人的名称和主题增加点击。Gelb 提醒称，开发人员在使用最靠前的搜索结果时要保持警惕，因为这正是攻击者所依赖的。Gelb 提到，“这些仓库狡猾地伪装成通常与热门游戏、工具等有关的合法项目，使得用户难以区分是否为恶意代码。为了确保最大可见性，攻击者利用多种狡猾的技术，持续将恶意仓库放到 GitHub 搜索结果顶部。”

其中一种技术涉及对 GitHub Actions 的滥用。通过多次少量更新恶意仓库的方式，攻击者提升了这些仓库的可见性。Gelb 表示这种技术是有效的，因为通过用户过滤“最近更新的”搜索结果，这些恶意仓库会被显示出来。

第二种技术可使攻击者创建虚假热门仓库。仓库的热门程度基于 GitHub 的星排名，对仓库进行排名的账户被称为 “标星者”。开发人员一般会对所了解、信任和最常使用的项目标星。Gelb 观察到，攻击者通过创建“多个徐佳佳账户增加虚假星数量”的方式，提升恶意仓库的评级，滥用了这种信任。虽然这种技术此前就被用于针对 GitHub 实例，但这起攻击活动中的威胁行动者增强了这种技术，使其看起来更加可信。文章提到，“在之前的事件中，攻击者会对自己的仓库增加数百个或数千个星，而在这些案例中，攻击者选择了数量更少的星，这样做很可能是为了避免因星数夸张而引发怀疑。” 然而，研究人员发现，这起攻击活动中所使用的很多标星者的账号创建在同一日期。Gelb 督促用户注意这种社工技术并强调称它是“虚假账户的示警信号”。

此外，威胁行动者还利用躲避技术，维持在受害者 Windows 机器上的持久性。文章提到，“恶意代码通常隐藏在 Visual Studio 项目文件 (.csprojeor.vcxproj) 中来躲避检测，在构建项目时自动执行”。因此，除非通过专门搜索才能发现，因为一般用户可能不会这样做。为了建立恶意软件的可持久性，攻击者创建了在凌晨4点运行且无需任何用户确认或交互的调度任务。而该代码与 “Keyzetsu 剪贴板” 恶意软件有关，用于攻击密币钱包，同时维持在受害者系统上的持久性。Keyzetsu 是相对较新的威胁，Gelb 表示通常会以盗版软件的方式进行分发。

从payload 激活情况来看，Gelb 还观察到威胁行动者选择不攻击位于俄罗斯的受害者。虽然威胁行动者和攻击范围尚不明朗，但显然攻击在启动后是有效的。文章提到，“证据表明，攻击者的活动成功地欺骗了不知情的用户。无数恶意仓库已通过 issues 收到抱怨，并从下载使用该代码后遇到问题的用户处拉取请求。”

Checkmarx 公司的软件供应链安全负责人表示，现在难以获知供应链攻击的范围，“该活动通过SEO诱饵和不断的伪更新瞄准受害者。从我们拥有的信息来看，我们只能猜测受影响受害者的数量，因为目前不存在成功感染的迹象。”

Gelb 表示，GitHub 恶意仓库“是正在进行的一种趋势，为开源生态系统带来严重威胁。”例如，Checkmarx 上周发现在一起软件供应链攻击中，威胁行动者攻陷了 GitHub 账户，向包括 Top.gg 在内的热门仓库提交了恶意 commit。恶意软件出现在多个 Top.gg 用户账户中。

Gelb 建议开发人员检查与 commit 频率和标星者相关的可疑活动。他建议用户注意标星者的身份以及这些账户的创建日期。另外，可使用供应链相关的威胁情报推送服务。Gelb 强调了开发人员只依靠声誉来选择所用仓库时的风险，因为恶意代码可能会藏匿。他提到，“这些事件凸显了人工代码审计或使用代码检测恶意软件的必要性。”

题图：Pexels License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~