Мошенники усилили атаки через поддельные страницы проектов с открытым кодом

Поиск привычных утилит всё чаще превращается в ловушку: сайт выглядит как официальный, ссылка при наведении ведёт на GitHub, дизайн не вызывает подозрений, но первый же клик по кнопке загрузки может отправить пользователя на совсем другой адрес. Эксперт «Группы Астра» Кирилл Довгаль подчеркнул, что для российских компаний такая атака — особенно чувствительный риск.

Команда Check Point Research описала новую мошенническую схему, где поддельные страницы проектов с открытым кодом и бесплатных программ направляли трафик к вредоносной инфраструктуре, пишет Securitylab.

Операторы кампании создавали сайты, похожие на порталы популярного программного обеспечения, включая Ghidra, dnSpy, ILSpy, SpiderFoot, grpcurl, MQTT Explorer и CrystalDiskMark. Часть доменов поднималась высоко в поисковой выдаче Google, поэтому пользователь мог принять подделку за настоящий сайт проекта. Страницы часто сохраняли ссылки на реальные репозитории, но загружали JavaScript-компонент через Amazon CloudFront, который перехватывал первое нажатие на кнопку «Download».

После клика пользователь попадал в Traffic Distribution System (TDS), то есть систему распределения трафика. Она проверяла IP-адрес, страну, браузер, признаки VPN, поведение клиента и частоту визитов. При повторной попытке сайт мог открыть обычную ссылку или предложить безвредное ПО, из-за чего анализ становился сложнее.

Дальше цепочка расходилась по нескольким направлениям. Одни пользователи попадали на партнёрские страницы загрузки и потенциально нежелательные приложения, другие получали вредоносные программы.

Кирилл Довгаль, руководитель продукта GitFlic считает, что новость Check Point Research — это тревожный сигнал для всех, кто привык безусловно доверять ссылкам на популярные open source-проекты.

«В подобных атаках злоумышленники бьют не столько по самому репозиторию, сколько по доверию пользователя к странице загрузки, ведь поддельный сайт может выглядеть как официальный, ссылаться на реальный проект и при этом через скрытые редиректы или TDS-цепочки «подсовывать» вредоносное ПО. Для российских компаний это особенно чувствительный риск, поэтому важно проверять источник загрузки, сверять релизы, теги, хэши и подписи файлов, а также не выполнять команды из сомнительных инструкций на внешних сайтах.

Со стороны платформ разработки ключевая задача — обеспечить контролируемую и прозрачную цепочку поставки ПО. В GitFlic для этого используются механизмы, которые помогают командам снижать риски: защищённые ветки, обязательное ревью, работа с релизами и тегами, а также интеграции со средствами анализа кода и зависимостей, включая CodeScoring. Суверенная инфраструктура и встроенные проверки не отменяют необходимости цифровой гигиены, но дают российским разработчикам больше контроля над тем, где хранится код, как собираются артефакты и какие проверки проходят изменения до попадания в продукт», — говорит эксперт Кирилл Довгаль.