Команда Check Point Research описала новую мошенническую схему, где поддельные страницы проектов с открытым кодом и бесплатных программ направляли трафик к вредоносной инфраструктуре, пишет Securitylab.
Операторы кампании создавали сайты, похожие на порталы популярного программного обеспечения, включая Ghidra, dnSpy, ILSpy, SpiderFoot, grpcurl, MQTT Explorer и CrystalDiskMark. Часть доменов поднималась высоко в поисковой выдаче Google, поэтому пользователь мог принять подделку за настоящий сайт проекта. Страницы часто сохраняли ссылки на реальные репозитории, но загружали JavaScript-компонент через Amazon CloudFront, который перехватывал первое нажатие на кнопку «Download».
После клика пользователь попадал в Traffic Distribution System (TDS), то есть систему распределения трафика. Она проверяла IP-адрес, страну, браузер, признаки VPN, поведение клиента и частоту визитов. При повторной попытке сайт мог открыть обычную ссылку или предложить безвредное ПО, из-за чего анализ становился сложнее.
Дальше цепочка расходилась по нескольким направлениям. Одни пользователи попадали на партнёрские страницы загрузки и потенциально нежелательные приложения, другие получали вредоносные программы.
Кирилл Довгаль, руководитель продукта GitFlic считает, что новость Check Point Research — это тревожный сигнал для всех, кто привык безусловно доверять ссылкам на популярные open source-проекты.
«В подобных атаках злоумышленники бьют не столько по самому репозиторию, сколько по доверию пользователя к странице загрузки, ведь поддельный сайт может выглядеть как официальный, ссылаться на реальный проект и при этом через скрытые редиректы или TDS-цепочки «подсовывать» вредоносное ПО. Для российских компаний это особенно чувствительный риск, поэтому важно проверять источник загрузки, сверять релизы, теги, хэши и подписи файлов, а также не выполнять команды из сомнительных инструкций на внешних сайтах.
Со стороны платформ разработки ключевая задача — обеспечить контролируемую и прозрачную цепочку поставки ПО. В GitFlic для этого используются механизмы, которые помогают командам снижать риски: защищённые ветки, обязательное ревью, работа с релизами и тегами, а также интеграции со средствами анализа кода и зависимостей, включая CodeScoring. Суверенная инфраструктура и встроенные проверки не отменяют необходимости цифровой гигиены, но дают российским разработчикам больше контроля над тем, где хранится код, как собираются артефакты и какие проверки проходят изменения до попадания в продукт», — говорит эксперт Кирилл Довгаль.
