صفحه اصلی > اخبار : کشف کمپین «Muck and Load»؛ انتشار بدافزار از طریق ۲۰۰ مخزن گیت‌هاب با پوشش اسکنر جعلی Go

کشف کمپین «Muck and Load»؛ انتشار بدافزار از طریق ۲۰۰ مخزن گیت‌هاب با پوشش اسکنر جعلی Go

کشف کمپین «Muck and Load»؛ انتشار بدافزار از طریق ۲۰۰ مخزن گیت‌هاب با پوشش اسکنر جعلی Go

شرکت امنیت سایبری Socket که در زمینه امنیت زنجیره تامین فعالیت می‌کند، به تازگی نتایج تحقیقات جدید خود را منتشر کرده است. این گزارش نشان می‌دهد یک ماژول زبان برنامه‌نویسی Go که در ظاهر یک اسکنر ساده برای DNS و زیردامنه‌ها به نظر می‌رسید، در واقع به عنوان مرحله اول برای دانلود بدافزارهای ویندوزی عمل می‌کرده است. محققان این کمپین مخرب را “Operation Muck and Load” نامیده‌اند.

بررسی‌های این شرکت، ماژول مخرب را در ۲۲۲ مخزن گیت‌هاب (GitHub Repositories) و روی ۱۹۰ حساب کاربری مختلف ردیابی کرده است. اولین نسخه این ماژول در بهمن‌ماه گذشته منتشر شد و از آن زمان تاکنون بیش از ۱۲۰۰ نسخه از آن ایجاد شده که بالغ بر ۷۰۰ مورد از آن‌ها مخرب بوده‌اند. پس از گزارش این موضوع، تیم امنیتی زبان برنامه‌نویسی Go این ماژول را در سیستم پروکسی خود مسدود کرد.

نحوه فریب و سوءاستفاده از گیت‌هاب

در زبان برنامه‌نویسی Go، اگر یک آپدیت (Commit) دارای برچسب نسخه مشخصی نباشد، سیستم به صورت خودکار یک «نسخه کاذب» بر اساس زمان و کد هش تولید می‌کند. مهاجمان با استفاده از ابزار GitHub Actions، یک روند خودکار ایجاد کرده بودند که هر دقیقه یک کد جدید را بارگذاری می‌کرد. این کار باعث شد تاریخچه نسخه‌های این اسکنر جعلی به صدها مورد برسد و در ظاهر، یک پروژه بسیار فعال و معتبر به نظر بیاید.

بررسی‌ها نشان می‌دهد که هکرها از یک ایمیل ثابت (ischhfd83@rambler.ru) در تنظیمات گیت خود استفاده کرده‌اند، اما نام کاربری را در ظاهر تغییر می‌دادند. این ترفند به آن‌ها اجازه می‌داد تا از حساب‌های کاربری یک‌بارمصرف استفاده کنند، اما همچنان یک ردپای ثابت برای ردیابی از خود به جای بگذارند.

روش‌های پنهان‌سازی؛ از پاورشل تا کامنت‌های ترکی!

فایل اصلی این ماژول (main.go)، یک دستور پنهان پاورشل (PowerShell) را اجرا می‌کند. این دستور، اطلاعاتی را از یک سایت مشخص دانلود کرده و پس از رمزگشایی، آن را بدون هیچ محدودیت امنیتی روی ویندوز اجرا می‌کند. جالب اینجاست که در بخشی از کدهای این بدافزار، یک یادداشت (کامنت) به زبان ترکی پیدا شده است که ترجمه آن چنین است: «مستقیم اجرا کن، نیازی به مرحله دیگری نیست.»

مهاجمان برای جلوگیری از مسدود شدن لینک‌های دانلود خود، روش بسیار هوشمندانه‌ای به کار بردند. آن‌ها به جای قرار دادن لینک مستقیم بدافزار در کد، متنی را از پلتفرم‌های عمومی و محبوبی مثل پیست‌بین، یوتیوب، اینستاگرام، تلگرام و گوگل داکس می‌خواندند. سپس کلمه رمز “LastW” را در این متن‌ها جستجو کرده و لینک دانلود بدافزار را استخراج می‌کردند. با این روش، اگر مدافعان سایبری یکی از لینک‌ها را مسدود کنند، هکرها می‌توانند بدون تغییر دادن کدهای اصلی برنامه‌نویسان، به سادگی لینک‌های مخفی شده در یوتیوب یا تلگرام را به‌روزرسانی کنند.

بدافزارها در قالب ربات‌ها و چیت‌های بازی

لینک نهایی کشف شده، به یک فایل فشرده 7-Zip رمزدار ختم می‌شد که در بخش فایل‌های یک پروژه گیت‌هاب قرار داشت. پس از دانلود، این فایل در پوشه‌ای که شبیه به پوشه برنامه مشروع Microsoft Photos نام‌گذاری شده بود، استخراج می‌شد و یک فایل اجرایی به نام Microsoft.exe را به صورت پنهان اجرا می‌کرد.

کارشناسان امنیتی حداقل ۱۴ فایل مخرب یکتا را در این عملیات تایید کرده‌اند. این بدافزارها شامل تروجان‌های خطرناکی مانند AsyncRAT، ابزارهای سرقت اطلاعات (مثل Vidar) و استخراج‌کننده‌های مخفیانه ارز دیجیتال (مانند XMRig) بوده‌اند.

نکته نگران‌کننده این است که هکرها این بدافزارها را در قالب پروژه‌های بسیار جذابی برای کاربران عادی مخفی کرده بودند؛ از جمله ابزارهای اتوماسیون بایننس و پی‌پال، ربات‌های تلگرام و دیسکورد، و تقلب (چیت) برای بازی‌های محبوبی مثل پابجی (PUBG)، ولورانت و فرار از تارکوف. برای مثال، یکی از مخازن گیت‌هاب با نام تقلب پابجی، دارای راهنمای نصب کامل بود، اما در دل کدهای خود یک بدافزار سارق اطلاعات را پنهان کرده بود.

ارتباط با حملات سال گذشته

شرکت Socket با اطمینان بالا اعلام کرده است که عملیات «Muck and Load» مربوط به همان گروه هکری است که شرکت امنیتی Sophos در خردادماه سال گذشته آن را شناسایی کرده بود. در آن زمان نیز محققان ۱۴۱ مخزن گیت‌هاب (که ۱۳۳ مورد از آن‌ها آلوده بودند) را به همان آدرس ایمیل رامبلر مرتبط دانستند. همچنین کلمه “Muck” به عنوان یکی از نام‌های مستعار این گروه هکری شناخته می‌شود.

تا این لحظه، شرکت گیت‌هاب و تیم زبان برنامه‌نویسی Go، اظهارنظر بیشتری فراتر از مسدود کردن این ماژول مخرب ارائه نکرده‌اند.

تحلیل اختصاصی آلفاتک: امنیت متن‌باز در خطر است

حملاتی که اصطلاحاً به آن‌ها «حمله زنجیره تامین» (Supply-chain attack) می‌گویند، به یکی از بزرگ‌ترین کابوس‌های دنیای توسعه نرم‌افزار تبدیل شده‌اند. در این روش، هکرها سیستم کاربران نهایی را هدف قرار نمی‌دهند، بلکه ابزارها و کدهای برنامه‌نویسان را آلوده می‌کنند.

زمانی که یک برنامه‌نویس برای انجام یک کار ساده (مثل اسکن DNS) از یک ماژول آماده در گیت‌هاب استفاده می‌کند، ناخواسته بدافزار را وارد کد نرم‌افزار خود کرده و آن را به هزاران کاربر دیگر منتقل می‌کند. استفاده مهاجمان از پلتفرم‌های قانونی مثل یوتیوب و تلگرام برای مخفی کردن لینک‌های بدافزار نشان می‌دهد که فیلتر کردن ساده دامنه‌های مخرب دیگر جوابگو نیست. برنامه‌نویسان باید پیش از استفاده از هر کتابخانه (Library) یا ماژول متن‌باز، به شدت مراقب باشند و کدهای منبع را بررسی کنند.

سوالات متداول (FAQ)

حمله زنجیره تامین (Supply-chain attack) چیست؟
نوعی حمله سایبری است که در آن هکرها به جای نفوذ مستقیم به سیستم قربانی، به سراغ ابزارها، نرم‌افزارها یا قطعات کدی می‌روند که قربانی از آن‌ها استفاده می‌کند. با آلوده کردن این واسطه‌ها (مثل ماژول‌های برنامه‌نویسی)، هکرها می‌توانند به تمام کاربرانی که از آن ابزار استفاده می‌کنند، نفوذ کنند.
چگونه می‌توانیم از آلوده شدن سیستم خود از طریق کدهای گیت‌هاب جلوگیری کنیم؟
همیشه پیش از اجرای کدهایی که از گیت‌هاب دانلود می‌کنید، محتوای آن‌ها را بررسی کنید. از ماژول‌ها و کتابخانه‌های ناشناس یا پروژه‌هایی که تاریخچه نامشخصی دارند استفاده نکنید. همچنین استفاده از ابزارهای اسکن کد و آنتی‌ویروس‌های به‌روز برای توسعه‌دهندگان ضروری است.
آیا زبان برنامه‌نویسی Go مشکل امنیتی دارد؟
خیر، این مشکل ارتباطی به ذات زبان Go ندارد. مهاجمان از ویژگی‌های عادی این زبان (مثل نحوه نسخه‌گذاری خودکار) و ابزارهای گیت‌هاب سوءاستفاده کرده‌اند تا فایل‌های مخرب خود را معتبر جلوه دهند. این نوع فریبکاری در هر زبان برنامه‌نویسی دیگری نیز ممکن است رخ دهد.
تولید محتوا برای من فقط نوشتن نیست؛ ترجمه دنیای پیچیده فناوری به زبانی روشن، دقیق و قابل فهم است. به‌عنوان کارشناس تولید محتوا در حوزه فناوری اطلاعات و تکنولوژی، تمرکزم بر خلق محتوایی است که هم از نظر فنی معتبر باشد و هم برای مخاطب ارزش واقعی ایجاد کند. از مفاهیم تخصصی IT و زیرساخت‌های شبکه گرفته تا هوش مصنوعی، امنیت سایبری و تحولات دیجیتال، تلاش می‌کنم هر موضوع را با نگاهی تحلیلی و ساختاریافته ارائه دهم.
مقالات مرتبط

افشای اطلاعات پردازنده‌های Nova Lake اینتل؛ سری Core Ultra 400 با پرچمدار ۵۲ هسته‌ای در راه است

افشای اطلاعات پردازنده‌های Nova Lake اینتل؛ سری Core Ultra 400 با پرچمدار…

تیر 27, 1405

شتاب‌دهنده هوش مصنوعی AMD MI350P؛ پادشاه جدید سرورهای PCIe

شتاب‌دهنده هوش مصنوعی AMD MI350P؛ پادشاه جدید سرورهای PCIe شتاب‌دهنده هوش مصنوعی…

تیر 27, 1405

بررسی پردازنده AMD Ryzen 7 7700X3D؛ پردازنده ۳۲۹ دلاری در انحصار فروشگاه نیواگ!

بررسی پردازنده AMD Ryzen 7 7700X3D؛ غول ۳۲۹ دلاری در انحصار فروشگاه…

تیر 26, 1405

دیدگاهتان را بنویسید