کشف کمپین «Muck and Load»؛ انتشار بدافزار از طریق ۲۰۰ مخزن گیتهاب با پوشش اسکنر جعلی Go
- فریبکاری خطرناک: یک ماژول زبان برنامهنویسی Go که خود را به عنوان اسکنر DNS معرفی میکرد، در واقع یک بدافزار ویندوزی بوده است.
- گستردگی حمله: این کمپین تاکنون بیش از ۷۰۰ ماژول مخرب را در ۲۲۲ مخزن گیتهاب منتشر کرده است.
- پنهانسازی هوشمندانه: هکرها لینک دانلود بدافزارهای خود را در سایتهای محبوبی مانند یوتیوب، تلگرام و پیستبین (Pastebin) مخفی کرده بودند.
- طعمههای جذاب: بدافزارها در قالب چیت (تقلب) بازیهایی مثل پابجی (PUBG)، ابزارهای اتوماسیون صرافی بایننس و رباتهای تلگرام به قربانیان عرضه میشدند.
شرکت امنیت سایبری Socket که در زمینه امنیت زنجیره تامین فعالیت میکند، به تازگی نتایج تحقیقات جدید خود را منتشر کرده است. این گزارش نشان میدهد یک ماژول زبان برنامهنویسی Go که در ظاهر یک اسکنر ساده برای DNS و زیردامنهها به نظر میرسید، در واقع به عنوان مرحله اول برای دانلود بدافزارهای ویندوزی عمل میکرده است. محققان این کمپین مخرب را “Operation Muck and Load” نامیدهاند.
بررسیهای این شرکت، ماژول مخرب را در ۲۲۲ مخزن گیتهاب (GitHub Repositories) و روی ۱۹۰ حساب کاربری مختلف ردیابی کرده است. اولین نسخه این ماژول در بهمنماه گذشته منتشر شد و از آن زمان تاکنون بیش از ۱۲۰۰ نسخه از آن ایجاد شده که بالغ بر ۷۰۰ مورد از آنها مخرب بودهاند. پس از گزارش این موضوع، تیم امنیتی زبان برنامهنویسی Go این ماژول را در سیستم پروکسی خود مسدود کرد.
نحوه فریب و سوءاستفاده از گیتهاب
در زبان برنامهنویسی Go، اگر یک آپدیت (Commit) دارای برچسب نسخه مشخصی نباشد، سیستم به صورت خودکار یک «نسخه کاذب» بر اساس زمان و کد هش تولید میکند. مهاجمان با استفاده از ابزار GitHub Actions، یک روند خودکار ایجاد کرده بودند که هر دقیقه یک کد جدید را بارگذاری میکرد. این کار باعث شد تاریخچه نسخههای این اسکنر جعلی به صدها مورد برسد و در ظاهر، یک پروژه بسیار فعال و معتبر به نظر بیاید.
بررسیها نشان میدهد که هکرها از یک ایمیل ثابت (ischhfd83@rambler.ru) در تنظیمات گیت خود استفاده کردهاند، اما نام کاربری را در ظاهر تغییر میدادند. این ترفند به آنها اجازه میداد تا از حسابهای کاربری یکبارمصرف استفاده کنند، اما همچنان یک ردپای ثابت برای ردیابی از خود به جای بگذارند.
روشهای پنهانسازی؛ از پاورشل تا کامنتهای ترکی!
فایل اصلی این ماژول (main.go)، یک دستور پنهان پاورشل (PowerShell) را اجرا میکند. این دستور، اطلاعاتی را از یک سایت مشخص دانلود کرده و پس از رمزگشایی، آن را بدون هیچ محدودیت امنیتی روی ویندوز اجرا میکند. جالب اینجاست که در بخشی از کدهای این بدافزار، یک یادداشت (کامنت) به زبان ترکی پیدا شده است که ترجمه آن چنین است: «مستقیم اجرا کن، نیازی به مرحله دیگری نیست.»
مهاجمان برای جلوگیری از مسدود شدن لینکهای دانلود خود، روش بسیار هوشمندانهای به کار بردند. آنها به جای قرار دادن لینک مستقیم بدافزار در کد، متنی را از پلتفرمهای عمومی و محبوبی مثل پیستبین، یوتیوب، اینستاگرام، تلگرام و گوگل داکس میخواندند. سپس کلمه رمز “LastW” را در این متنها جستجو کرده و لینک دانلود بدافزار را استخراج میکردند. با این روش، اگر مدافعان سایبری یکی از لینکها را مسدود کنند، هکرها میتوانند بدون تغییر دادن کدهای اصلی برنامهنویسان، به سادگی لینکهای مخفی شده در یوتیوب یا تلگرام را بهروزرسانی کنند.
بدافزارها در قالب رباتها و چیتهای بازی
لینک نهایی کشف شده، به یک فایل فشرده 7-Zip رمزدار ختم میشد که در بخش فایلهای یک پروژه گیتهاب قرار داشت. پس از دانلود، این فایل در پوشهای که شبیه به پوشه برنامه مشروع Microsoft Photos نامگذاری شده بود، استخراج میشد و یک فایل اجرایی به نام Microsoft.exe را به صورت پنهان اجرا میکرد.
کارشناسان امنیتی حداقل ۱۴ فایل مخرب یکتا را در این عملیات تایید کردهاند. این بدافزارها شامل تروجانهای خطرناکی مانند AsyncRAT، ابزارهای سرقت اطلاعات (مثل Vidar) و استخراجکنندههای مخفیانه ارز دیجیتال (مانند XMRig) بودهاند.
نکته نگرانکننده این است که هکرها این بدافزارها را در قالب پروژههای بسیار جذابی برای کاربران عادی مخفی کرده بودند؛ از جمله ابزارهای اتوماسیون بایننس و پیپال، رباتهای تلگرام و دیسکورد، و تقلب (چیت) برای بازیهای محبوبی مثل پابجی (PUBG)، ولورانت و فرار از تارکوف. برای مثال، یکی از مخازن گیتهاب با نام تقلب پابجی، دارای راهنمای نصب کامل بود، اما در دل کدهای خود یک بدافزار سارق اطلاعات را پنهان کرده بود.
ارتباط با حملات سال گذشته
شرکت Socket با اطمینان بالا اعلام کرده است که عملیات «Muck and Load» مربوط به همان گروه هکری است که شرکت امنیتی Sophos در خردادماه سال گذشته آن را شناسایی کرده بود. در آن زمان نیز محققان ۱۴۱ مخزن گیتهاب (که ۱۳۳ مورد از آنها آلوده بودند) را به همان آدرس ایمیل رامبلر مرتبط دانستند. همچنین کلمه “Muck” به عنوان یکی از نامهای مستعار این گروه هکری شناخته میشود.
تا این لحظه، شرکت گیتهاب و تیم زبان برنامهنویسی Go، اظهارنظر بیشتری فراتر از مسدود کردن این ماژول مخرب ارائه نکردهاند.
تحلیل اختصاصی آلفاتک: امنیت متنباز در خطر است
حملاتی که اصطلاحاً به آنها «حمله زنجیره تامین» (Supply-chain attack) میگویند، به یکی از بزرگترین کابوسهای دنیای توسعه نرمافزار تبدیل شدهاند. در این روش، هکرها سیستم کاربران نهایی را هدف قرار نمیدهند، بلکه ابزارها و کدهای برنامهنویسان را آلوده میکنند.
زمانی که یک برنامهنویس برای انجام یک کار ساده (مثل اسکن DNS) از یک ماژول آماده در گیتهاب استفاده میکند، ناخواسته بدافزار را وارد کد نرمافزار خود کرده و آن را به هزاران کاربر دیگر منتقل میکند. استفاده مهاجمان از پلتفرمهای قانونی مثل یوتیوب و تلگرام برای مخفی کردن لینکهای بدافزار نشان میدهد که فیلتر کردن ساده دامنههای مخرب دیگر جوابگو نیست. برنامهنویسان باید پیش از استفاده از هر کتابخانه (Library) یا ماژول متنباز، به شدت مراقب باشند و کدهای منبع را بررسی کنند.


