Хакеры могут использовать GitHub для атак на разработчиков

Хакеры могут использовать GitHub для атак на разработчиков

Хакеры могут использовать GitHub для атак на разработчиков

Злоумышленники могут использовать GitHub и другие сервисы Git для скрытых атак, нацеленных на разработчиков программного обеспечения. Исследователи в области безопасности тестировали системы организаций, занимающихся разработкой программного обеспечения, и заметили, что во многих случаях ключевой момент нарушения безопасности заключается в ненадлежащем понимании доверительных отношений (trust relationships).

Углубленный анализ взаимодействия между организацией, ее разработчиками, платформами и кодом показал ряд моментов, которые можно использовать для того, чтобы получить постоянный доступ к системам.

Среды для разработки программного обеспечения состоят из рабочих станций, общих пользователей, локальных и удаленных разработчиков, систем контроля версий, репозиториев кодов, систем непрерывной интеграции и промежуточных и производственных систем.

Эксперты показали, что взаимодействие между этими компонентами, особенно в средах разработки программного обеспечения Agile, может привести к серьезным угрозам безопасности. Кроме того, исследователи предупреждают, что организации часто могут использовать непреднамеренные уровни доверительных отношений - например, удалять элементы управления безопасностью для ускорения работы и соблюдения сроков.

Чтобы продемонстрировать свою теорию, специалисты создали инструмент тестирования проникновения под названием GitPwnd. GitPwnd позволяет злоумышленникам общаться с скомпрометированными устройствами через репозитории Git, которые хранят историю программного обеспечения.

Команды отправляются на взломанный компьютер через репозиторий Git, а ответ приходит по тому же уровню, что позволяет свести к минимуму обнаружение жертвой вредоносного трафика. GitPwnd использует GitHub для размещения репозитория злоумышленника, но исследователи отметили, что и другие службы, такие как BitBucket или GitLab, работают так же хорошо.

Злоумышленник может создать копию популярного репозитория, чтобы сделать связь настолько незаметной, насколько это возможно. В результате такой атаки, хакер может запускать произвольные команды Python на взломанных машинах, незаметно красть информацию и выполнить другие задачи.

GitPwnd в виде открытого исходного кода доступен на GitHub. Исследователи заявляют, что для эффективного использования этого инструмента требуется квалифицированный злоумышленник.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ВТБ раскрыл новую схему мошенничества от имени лжепсихологов

Мошенники начали представляться школьными психологами и методистами, чтобы обманом выманить у родителей учеников персональные и платёжные данные. Как сообщили в банке, злоумышленники требуют предоставить сведения или пройти некое «тестирование» — якобы для итоговой аттестации или составления «характеристики ученика».

В процессе разговора мошенники могут запрашивать паспортные данные, СНИЛС, ИНН — как у ребёнка, так и у родителей. Нередко они просят установить сторонние приложения, которые якобы необходимы для прохождения теста.

На деле всё это делается ради получения доступа к Порталу Госуслуг и банковским приложениям. Через процедуры восстановления доступа злоумышленники оформляют кредиты на имя родителей и похищают полученные средства.

«Мошенники всё чаще используют школьную тематику, играя на тревоге и доверчивости родителей. Они создают ощущение срочности, используют официальные термины — “государственная аттестация”, “характеристика ученика” — чтобы сбить с толку и не дать жертве задуматься. В таких случаях важно остановиться, прервать разговор и спокойно перепроверить информацию», — отметил вице-президент ВТБ, начальник управления защиты корпоративных интересов департамента по обеспечению безопасности Дмитрий Ревякин.

По его словам, аферисты часто звонят наугад — в том числе родителям уже взрослых детей или даже бездетным людям, рассчитывая на замешательство.

Ревякин также рекомендовал передавать номера мошенников в банк. Это можно сделать через раздел «Безопасность» в чат-боте ВТБ, на сайте, в мобильном приложении ВТБ Онлайн, а также в официальных аккаунтах банка в мессенджерах «ВКонтакте» и MAX. Эти номера передаются операторам связи для последующей блокировки.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru