Palo Alto研究员称 未知攻击者使用恶意程序Dimnie攻击Github开发者 企图在开源项目中注入后门

简介:

过去几个月间,在GitHub网站上发布代码的开发者陆续遭到攻击,这些攻击都使用了一种鲜为人知却切实有效的网络间谍软件。攻击始于1月份,通过精心构造的恶意邮件吸引开发者注意,如请求他们为开发项目提供帮助或邀请他们参与有偿定制编程工作。

恶意邮件诱骗开发者下载恶意程序Dimnie

邮件中的.gz附件包含Word文档,其中嵌入了恶意宏代码。运行后,宏代码会执行PowerShell脚本,连接远程服务器,下载恶意程序Dimnie。根据Palo Alto Networks(PAN)研究员所说,Dimnie至少从2014年就出现了,但是一直默默无闻,直至今日,因为它将矛头主要对准了俄罗斯用户。

这款恶意软件使用了一些秘密技术,让恶意流量混杂到正常用户活动中。它发起的请求看似指向Google的一些域名,实际目的是受攻击者控制的IP地址。 PAN研究员在博文中提到 ,Dimnie可下载其他恶意模块,直接将这些模块注入到合法Windows进程内存中。这些模块在磁盘上无迹可寻,因而很难检测并分析。

还有不同的模块分别进行键盘记录、屏幕抓取、与计算机中的智能卡交互等等。甚至还有个自毁模块,可抹去系统驱动中的所有文件,以销毁恶意软件踪迹。攻击者从受感染计算机窃取数据后对数据加密,并将数据添加到图片文件头中,以绕过入侵防御系统。

Palo Alto研究员怀疑这起攻击来自国家支持

虽然PAN并未将这些攻击归咎于某一特定团体,但恶意软件特征与近期疑受国家支持的攻击明显类似:使用嵌入恶意宏的文件、使用PowerShell、将恶意代码直接加载入内存、使用秘密的命令与控制通道和数据外泄技术、高度定向的钓鱼行动等。

开发者对于网络间谍来说具有很高的价值。他们的计算机常含有私有信息及所在公司网络与系统的访问凭证。雅虎数据泄露事件就源于一位半特权员工轻信了鱼叉式钓鱼邮件,最终导致黑客获取了5亿用户的账户信息。

他们这份报告得出了如下结论

The global reach of the January 2017 campaign which we analyzed in this post is a marked departure from previous Dimnie targeting tactics. Multiple factors have contributed to Dimnie’s relatively long-lived existence. By masking upload and download network traffic as innocuous user activity, Dimnie has taken advantage of defenders’ assumptions about what normal traffic looks like. This blending in tactic, combined with a prior penchant for targeting systems used by Russian speakers, likely allowed Dimnie to remain relatively unknown.

Customers are protected by IPS, Dimnie is detected as malware by Wildfire, and Autofocus customers can see related samples using the Dimnie tag.

We are also including IOCs for this malware family dating back to 2014 which include domains from DNS lookups (Appendix A) and dropper hashes (Appendix B). IOCs specifically mentioned in this post are included in the next section.

Dimnie恶意软件的主要目的 是通过Github开发者在项目中注入后门

Dimnie攻击看似专门针对GitHub网站(该网站提供免费源代码托管服务)上的开发者。这类人包括大型公司开发人员和业余时间发布个人开源项目的开发人员。

1月份在回应一邮件攻击报道时,Mozilla策略工程师Gervase Markham称,他的一个邮箱曾收到过类似信息,而这个邮箱地址仅用于登录GitHub。这让他相信这种定向攻击可能是自动发起的。

攻击者在进入源代码库和分发服务器后,可在软件项目中注入后门或将编译好的二进制文件变为木马。这种事曾多次发生,例如,托管在项目官方网站上的Transmission BitTorrent客户端(macOS版本)曾两度被发现含有恶意软件。


原文发布时间:2017年3月31日

本文由:csoonline 发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/attacker-attempting-into-back-door-in-github-open-source-projects

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

相关文章
|
7月前
|
人工智能 自然语言处理 iOS开发
『GitHub项目圈选19』推荐5款本周 让人爱不释手 的开源项目
『GitHub项目圈选19』推荐5款本周 让人爱不释手 的开源项目
208 2
|
7月前
|
人工智能 自然语言处理 NoSQL
『GitHub项目圈选13』推荐5款本周 让人爱不释手 的开源项目
『GitHub项目圈选13』推荐5款本周 让人爱不释手 的开源项目
178 2
|
7月前
|
存储 Web App开发 人工智能
『GitHub项目圈选18』推荐5款本周 超实用 的开源项目
『GitHub项目圈选18』推荐5款本周 超实用 的开源项目
594 1
|
7月前
|
人工智能 物联网 机器人
『GitHub项目圈选17』推荐5款本周 火火火 的AI开源项目
『GitHub项目圈选17』推荐5款本周 火火火 的AI开源项目
1520 1
|
7月前
|
JSON 搜索推荐 程序员
『GitHub项目圈选15』推荐5款本周 深受程序员喜爱 的开源项目
『GitHub项目圈选15』推荐5款本周 深受程序员喜爱 的开源项目
170 1
|
7月前
|
Java Spring
GitHub 上搜索开源项目技巧
GitHub 上搜索开源项目技巧
85 0
|
3月前
|
安全 项目管理 开发工具
探索 GitHub:现代开发者的协作平台
GitHub 是一个基于 Git 的版本控制和协作平台,广泛应用于软件开发和项目管理。它不仅提供代码托管服务,还是开发者社区和开源项目的重要平台。本文介绍了 GitHub 的核心功能(如代码托管、协作工具、CI/CD 集成等)、使用技巧(如规范化提交信息、参与开源项目等),帮助开发者提升效率和协作能力。GitHub 自2008年成立以来,已成为全球最大的代码托管平台,支持团队协作和项目管理。
|
4月前
|
Web App开发 Linux 开发工具
告别卡顿,畅享GitHub:国内开发者必看的五大加速访问与下载技巧
【8月更文挑战第4天】告别卡顿,畅享GitHub:国内开发者必看的五大加速访问与下载技巧
告别卡顿,畅享GitHub:国内开发者必看的五大加速访问与下载技巧
|
4月前
|
JavaScript 前端开发 Java
Github 2024-08-01 开源项目月报 Top17
根据Github Trendings统计,2024年8月共有17个项目上榜。按开发语言分类,项目数量如下:Python项目6个,非开发语言项目与TypeScript项目各4个,JavaScript项目3个,Java、Go及Vue项目各1个。其中,免费编程学习平台freeCodeCamp.org以381,011个Star数领先,提供全栈网页开发和机器学习课程。其他项目涵盖编程书籍、API集合、低代码开发平台等多种资源。
42 1
|
4月前
|
人工智能 JavaScript 前端开发
Github 2024-07-01开源项目月报 Top15
根据Github Trendings统计,2024年7月有15个热门项目。按开发语言分类,项目数量如下:Python项目6个,JavaScript项目3个,C++项目2个,PHP、Blade、非开发语言、C#、Lua、Go、MDX、Jupyter Notebook项目各1个。这些项目涵盖技术重建指南、生成式AI教程、模块化GUI、云平台、数据库系统、视频生成模型、AI框架、Shell提示渲染器、Neovim配置、PDF转Markdown工具及语音识别等多种领域和技术。
125 0