夜雨聆风一种名为“巨齿鲨”的新发现的恶意软件活动已经入侵了超过 5500 个 GitHub 代码库,引发了人们对开源生态系统安全性的严重担忧。
SafeDep 的安全研究人员报告称,该恶意软件通过隐藏在看似合法的项目中的恶意代码注入进行传播,目标是那些不知情地下载和执行受感染文件的开发人员。
Megalodon攻击活动利用GitHub的可信平台大规模传播恶意软件。攻击者创建或劫持了数千个代码仓库,并将恶意脚本嵌入到看似流行的工具、自动化脚本和破解软件包中。
这些代码仓库通常看起来合法,拥有令人信服的README文件、文档,甚至伪造的提交历史记录。一旦开发者克隆或下载这些项目,恶意软件就会在后台运行,启动一系列恶意活动。
研究人员指出,此次攻击活动的规模尤其令人担忧,因为它高度自动化。攻击者不断上传新的感染源,使得清除工作难以开展,并让恶意软件得以在整个平台上持续存在。
Megalodon恶意软件主要针对经常依赖GitHub获取工具和代码片段的开发人员和IT专业人员。感染通常始于用户下载包含伪装成以下文件的恶意脚本的存储库:
- 构建脚本或安装文件
- Python 包或 npm 模块
- 破解版软件安装程序
- 游戏作弊或自动化工具
一旦执行,该恶意软件会部署一个有效载荷,从而在系统中建立持久性。它可能会修改启动配置、创建计划任务或将自身注入到合法进程中,以逃避检测。
在许多已观察到的案例中,恶意软件还会关闭安全工具或试图绕过终端检测系统。
巨齿鲨(Megalodon)是一款多功能恶意软件,其功能远不止简单的感染。主要功能包括:
- 从浏览器和系统内存中窃取凭证
- 针对热门钱包应用程序的加密货币钱包盗窃案
- 通过命令与控制 (C2) 服务器执行远程命令
- 数据泄露,包括敏感文件和环境变量
- 部署勒索软件或加密货币挖矿软件等辅助有效载荷
该恶意软件采用模块化设计,攻击者无需重新感染即可更新或扩展其功能,使其具有很强的适应性。
妥协指标(IOC)
安全分析师已发现与巨齿鲨攻击活动相关的几个指标:
- 可疑的出站连接,指向未知域名或 IP 地址
- 意外的系统进程正在从临时目录运行
- 未经授权的计划任务或启动项
- 下载的存储库中存在混淆脚本
建议开发者在从未经核实的来源下载代码后,监控系统是否存在异常行为。
为降低感染风险,组织和个人开发者应采取以下安全措施:
- 通过检查贡献者历史记录和社区信任度来验证存储库的真实性
- 避免从 GitHub 下载破解软件或非官方工具。
- 使用更新后的防病毒软件或终端安全解决方案扫描所有下载的代码。
- 在执行前,使用沙箱环境测试不受信任的代码。
- 在开发者帐户上启用多因素身份验证 (MFA)
- 定期更新系统和安全工具
据报道,GitHub 已开始删除已识别的恶意代码库,但由于该活动的动态性,新的代码库仍在不断出现。
巨齿鲨恶意软件凸显了攻击者将目标对准软件供应链的更广泛趋势。通过利用 GitHub 等可信平台,威胁行为者可以绕过传统的安全控制措施,并触及广泛的开发者群体
