Populární úložiště kódů GitHub terčem útoku. Jsou uživatelé v ohrožení?

mobilni malware hacker eset

GitHub, populární úložiště kódů, které používá více než 83 milionů vývojářů po celém světě, čelilo rafinovanému útoku. Tento online prostor umožňuje vývojářům spolupracovat a využívat cizí zdrojové kódy, čehož chtěli využít útočníci, kteří zkopírovali tisíce stávajících projektů a vložili do nich malware. GitHub je největší programátorskou komunitou na světě, takže i když se útok podařilo zastavit a odhalit, jde o závažný problém.

„Podařilo se odhalit nebezpečnou klonovací kampaň na GitHubu. Útočníci použili techniku typosquatting ke klonování a publikování oblíbených kódů pod falešnými účty, kdy napodobovali původní kódy a vkládali do nich malware. Cílem útočníků bylo krást informace o prostředí a v některých případech se snažili dokonce zařízení infikovat backdoorem. Znovu se tak ukazuje, jak nebezpečné jsou útoky na dodavatelské řetězce,“ říká Peter Kovalčík, Security Engineer EE z kyberbezpečnostní společnosti Check Point Software Technologies.

zlodej thief hacker bezpecnost podvod
Úložiště kódů GitHub se stalo terčem hackerského útoku, ale hrozbu se naštěstí podařilo včas odhalit

Hackeři na GitHubu naklonovali přibližně 35 tisíc uložených projektů, takže byly na první pohled identické s původním zdrojovým kódem, ovšem nově obsahovaly i vložený malware. Tento škodlivý kód mohl například krást informace o prostředí, ve kterém je spuštěn, data o identitě zařízení, identitě uživatele a další citlivé údaje.



raiffeisenbank podvod 05



Nepřehlédněte

Pozor na falešné internetové bankovnictví! Neuvěřitelný trik na klienty Raiffeisenbank

Ještě nebezpečnější ale bylo, že takto vložený malware mohl stahovat další malware z webu třetí strany. Ten pak mohl dále zneužít jakoukoli aplikaci nebo prostředí, které používalo infikovaný kód. Podobné útoky na dodavatelské řetězce mohou mít katastrofální následky, když si nic netušící vývojář omylem stáhne škodlivý kód, který použije pro vlastní účely a pak jím nevědomky ohrozí běžné uživatele.

Autor článku
Dominik Vlasák
Redaktor, cestovatel, fanoušek technologií, Star Wars a dobré kávy.
image/svg+xml
+

Kapitoly článku