超過 200 個針對遊戲玩家和開發者的惡意 GitHub 程式庫攻擊活動曝光

資安研究人員發現一項新的攻擊活動，駭客發布了超過67個聲稱提供Python駭客工具的GitHub程式庫，但實際上散布植入惡意程式的檔案。這個被ReversingLabs命名為「Banana Squad」的活動，被評估為2023年針對Python Package Index套件庫惡意Python活動的延續。當時攻擊者上傳的虛假套件被下載超過75,000次，在Windows系統上竊取資訊。

Banana Squad攻擊活動分析

《SANS網路風暴中心報告（SANS's Internet Storm Center ）》於2024年11月發布，該報告詳細描述了一個託管在GitHub上名為「steam-account-checker」的工具，該工具含有隱蔽功能，能夠下載額外的Python惡意載荷，將惡意程式碼注入Exodus加密貨幣錢包應用程式中，並將敏感資料傳送至外部伺服器「dieserbenni[.]ru」。

攻擊活動針對搜尋特定軟體的用戶，例如帳號清理工具和遊戲作弊程式，包括Discord帳號清理工具、Fortnite外掛程式、TikTok用戶名檢查工具和PayPal批量帳號檢查器等。所有被識別的惡意程式庫已被GitHub下架。

ReversingLabs研究員Robert Simmons表示，在GitHub這類公開程式碼存儲庫中，後門和被植入惡意程式的程式碼越來越普遍，代表軟體供應鏈攻擊管道正在增加。對於依賴這些開源平台的開發人員來說，必須仔細驗證所使用程式庫的內容是否符合預期。

GitHub淪為惡意程式散布平台

「Banana Squad」發展顯示GitHub正越來越頻繁地被用作惡意程式散布管道。

趨勢科技揭露了由駭客「Water Curse」操控的76個惡意GitHub程式庫，這些程式庫被用於傳遞多階段惡意軟體。這些惡意程式旨在竊取憑證、瀏覽器資料和連線權杖，同時為駭客提供對被入侵系統的持續遠端存取能力。

隨後，Check Point揭露了另一個針對Minecraft玩家的Java惡意程式攻擊活動，該活動利用名為「Stargazers Ghost Network」的駭客服務。Stargazers Ghost Network是一個由多個GitHub帳號組成的網路，透過釣魚程式庫傳播惡意程式或惡意連結。

Check Point表示，該網路中的帳號不僅散布惡意連結和惡意程式，還會對惡意程式庫進行標星、複製和訂閱，使這些程式庫看起來合法可信。這些GitHub「幽靈」帳號僅是整體攻擊架構的一部分，其他平台上的「幽靈」帳號也作為更大型「惡意程式分發即服務」生態系統的組成部分。

Stargazers Ghost Network的部分手法於2024年4月被Checkmarx揭露。研究指出，攻擊者使用假星標並頻繁更新程式庫，人為提高這些程式庫的受歡迎度，確保它們在GitHub搜尋結果中置頂。這些程式庫巧妙偽裝成合法專案，通常與熱門遊戲、外掛程式或工具相關，例如加密貨幣價格追蹤器和博彩遊戲乘數預測工具。

針對新手駭客的攻擊浪潮

這些攻擊活動與另一波針對新手駭客的攻擊浪潮不謀而合。後者專門尋找在GitHub上搜尋現成惡意程式和攻擊工具的人，透過後門式程式庫感染他們的系統，植入資訊竊取程式。

在Sophos的一個研究案例中，被植入惡意程式的Sakura-RAT程式庫被發現含有惡意程式碼。當使用者在自己系統上編譯這些惡意軟體時，會遭到資訊竊取工具和其他遠端存取木馬程式入侵。

研究人員發現這些程式庫是四種不同類型後門的傳播管道。這些後門被嵌入在Visual Studio PreBuild事件、Python腳本、螢幕保護程式檔案和JavaScript中，目的是竊取資料、擷取螢幕截圖、透過Telegram進行通訊，以及下載更多惡意程式，包括AsyncRAT、Remcos RAT和Lumma Stealer等。

Sophos表示，在此攻擊活動中至少發現了133個含後門的程式庫，其中111個包含PreBuild後門，其餘則包含Python、螢幕保護程式和JavaScript後門。這些活動很可能與一個自2022年8月起運作的「惡意程式分發即服務」相關，該服務利用數千個GitHub帳號散布嵌入在被特洛伊木馬化的程式庫中的惡意軟體，這些程式庫主題多與遊戲作弊程式、漏洞利用工具和攻擊工具相關。

雖然此攻擊活動的確切散布方式尚不明確，但資安研究人員認為，駭客也利用Discord伺服器和YouTube頻道來散布指向這些被植入惡意程式的程式庫連結。目前尚不清楚此攻擊活動是否與先前報導的部分或全部攻擊活動有直接關聯，但這種手法顯然相當受歡迎且有效，並可能以某種形式持續存在。

與Water Curse組織的關聯

Sophos的資安長Chet Wisniewski表示，此次攻擊活動與「Water Curse」駭客組織有「明顯相似之處」。這些共同特徵包括存儲庫使用極為相似的命名方式、大量使用GitHub帳號、同樣聚焦Electron應用程式、以類似的方式濫用Visual Studio的PreBuild功能，以及引用相同的「ischhfd83」電子郵件地址，用於向GitHub存儲庫提交更新。

Wisniewski補充道，這些攻擊活動是密切相關，還是僅僅屬於使用相同程式碼基礎和攻擊手法的威脅集團，值得進一步調查。

開發人員在使用開源程式庫時，應該採取更嚴格的安全檢查措施，包括詳細檢視程式庫的原始碼、驗證開發者身份、檢查程式庫的下載和星標歷史是否異常，以及使用自動化工具掃描潛在的惡意程式碼。企業組織也應建立完善的軟體供應鏈安全政策，定期審核使用的第三方程式庫。

而開發社群和平台營運商必須共同努力，建立更強大的安全機制來識別和阻止惡意程式庫的散布。同時，開發人員也需要提高警覺，在使用第三方程式庫時採取更謹慎的態度，以保護自身和用戶的安全。

本文轉載自 TheHackerNews。