Н
НеИБи
@antiinfosec88 подп.
3.8Kпросмотров
16 марта 2026 г.
Score: 4.1K
🔐Когда прописка в России спасает Специалисты StepSecurity обнаружили масштабную атаку на GitHub, в ходе которой злоумышленники взламывают аккаунты разработчиков и внедряют вредоносный код в Python-репозитории. Кампания, получившая название ForceMemo, стартовала 8 марта и продолжается до сих пор — под удар попали уже сотни проектов, включая Django-приложения, код для машинного обучения и даже пакеты, устанавливаемые через pip напрямую с GitHub. Механизм атаки оказался изощренным: сначала жертвы заражаются стилером GlassWorm через вредоносные расширения для VS Code и Cursor, который крадет GitHub-токены. Получив доступ к аккаунту, злоумышленник не создает новых коммитов, а аккуратно переписывает историю существующих. Он берет последний легитимный коммит, добавляет в конец одного из Python-файлов (setup.py, main.py, app.py) обфусцированный код и делает force-push в основную ветку. При этом автор коммита, его сообщение и дата полностью сохраняются, и лишь дата выдает подмену. В результате для внешнего наблюдателя репозиторий выглядит абсолютно нормально. Особенность кампании в том, что управление зараженными машинами происходит через блокчейн Solana. Встроенный в код вредонос обращается к конкретному кошельку, читает из памяти транзакций зашифрованные инструкции и получает оттуда адрес сервера с полезной нагрузкой. Такой подход делает C2-канал практически неблокируемым. Сама полезная нагрузка загружается и выполняется через Node.js, при этом система проверяет, не находится ли жертва в России. В этом случае атака прекращается, что характерно для многих киберпреступных группировок из Восточной Европы. На данный момент известно о взломе как минимум нескольких десятков аккаунтов, у некоторых скомпрометировано по 6 и более репозиториев. Разработчикам, которые используют прямые установки из GitHub или клонируют репозитории, стоит немедленно проверить свои системы на наличие маркерной переменной «lzcdrtfxyqiplpd» в пайтон-файлах, а также проверить историю коммитов на предмет несоответствия дат. Кампания активна, и список скомпрометированных репозиториев продолжает расти. @antiinfosec
3.8K
просмотров
2114
символов
Нет
эмодзи
Нет
медиа

Другие посты @antiinfosec

Куда катится Telega Пару дней назад в сети появился документ о том, что 18 марта создатели клиента👁 3.7K🔐Тегеран-26 Оказывается, Тегеран был у Израиля как на ладони. По крайней мере так заявляют западные👁 3.4KХактивисты из кластера Forbidden Hyena (проукраинские хактивисты) решили идти в ногу с прогрессом и👁 3.2KСпециалисты BI.ZONE Threat Intelligence обнаружили на теневом форуме объявление о продаже эксплоита👁 2.9K🔐Тегеран-26 Оказывается, Тегеран был у Израиля как на ладони. По крайней мере так заявляют западные👁 2.8K
Все посты канала →
Аналитика каналаБаза постов
🔐Когда прописка в России спасает Специалисты StepSecurity о — @antiinfosec | PostSniper