Jump to content

Nytro

Administrators
  • Posts

    18574
  • Joined

  • Last visited

  • Days Won

    640

Posts posted by Nytro

  1. 35,000 code repos not hacked—but clones flood GitHub to serve malware

    By Ax Sharma
    • August 3, 2022

     

    github

    Thousands of GitHub repositories were forked (copied) with their clones altered to include malware, a software engineer discovered today.

    While cloning open source repositories is a common development practice and even encouraged among developers, this case involves threat actors creating copies of legitimate projects but tainting these with malicious code to target unsuspecting developers with their malicious clones.

    GitHub has purged most of the malicious repositories after receiving the engineer's report.

    35,000 GitHub projects not hijacked

    Today, software developer Stephen Lacy left everyone baffled when he claimed having discovered a "widespread malware attack" on GitHub affecting some 35,000 software repositories.

    Contrary to what the original tweet seems to suggest, however, "35,000 projects" on GitHub have not been affected or compromised in any manner.

    Rather, the thousands of backdoored projects are copies (forks or clones) of legitimate projects purportedly made by threat actors to push malware.

    Official projects like crypto, golang, python, js, bash, docker, k8s, remain unaffected. But, that is not to say, the finding is unimportant, as explained in the following sections.

    Tweet by Stephen Lacy Software engineer Stephen Lacy first publicized the finding (Twitter)

    While reviewing an open source project Lacy had "found off a google search," the engineer noticed the following URL in the code that he shared on Twitter:

    hxxp://ovz1.j19544519.pr46m.vps.myjino[.]ru

    BleepingComputer, like many, observed that when searching GitHub for this URL, there were 35,000+ search results showing files containing the malicious URL. Therefore, the figure represents the number of suspicious files rather than infected repositories:

    GitHub hits for malicious URL GitHub search results for malicious URL reveal over 35,000 files (BleepingComputer)

    We further discovered, out of the 35,788 code results, more than 13,000 search results were from a single repository called 'redhat-operator-ecosystem.'

    This repository, seen by BleepingComputer this morning, appears to have now been removed from GitHub, and shows a 404 (Not Found) error.

     

    The engineer has since issued corrections and clarifications [12] to his original tweet.

    Malicious clones equip attackers with remote access

    Developer James Tucker pointed out that cloned repositories containing the malicious URL not only exfiltrated a user's environment variables but additionally contained a one-line backdoor.

    code execution backdoor Cloned repositories altered with malware contain backdoor (BleepingComputer)

    Exfiltration of environment variables by itself can provide threat actors with vital secrets such as your API keys, tokens, Amazon AWS credentials, and crypto keys, where applicable. 

    But, the single-line instruction (line 241 above) further allows remote attackers to execute arbitrary code on systems of all those who install and run these malicious clones.

    Unclear timeline

    As far as the timeline of this activity goes, we observed deviating results.

    The vast majority of forked repositories were altered with the malicious code sometime within the last month—with results ranging from six to thirteen days to twenty days ago. However, we did observe some repositories with malicious commits dated as far back as 2015.

    13 day old commit Malicious commit made 13 days ago in one of the clones (BleepingComputer)

    The most recent commits containing the malicious URL made to GitHub today are mostly from defenders, including threat intel analyst Florian Roth who has provided Sigma rules for detecting the malicious code in your environment.

    Ironically, some GitHub users began erroneously reporting Sigma's GitHub repo, maintained by Roth, as malicious on seeing the presence of malicious strings (for use by defenders) inside Sigma rules.

    GitHub has removed the malicious clones from its platform as of a few hours ago, BleepingComputer can observe.

    As a best practice, remember to consume software from the official project repos and watch out for potential typosquats or repository forks/clones that may appear identical to the original project but hide malware.

    This can become more difficult to spot as cloned repositories may continue to retain code commits with usernames and email addresses of the original authors, giving off a misleading impression that even newer commits were made by the original project authors. Open source code commits signed with GPG keys of authentic project authors are one way of verifying the authenticity of code.

     
    • Upvote 3
  2. Surely you’ve been expecting our email about the DefCamp conference, right? We are happy to officially announce that we’re back with DefCamp - the offline edition, this fall, as we've become accustomed to over the last 10 years.

     

    Registrations are NOW OPEN, which means you can book your early bird ticket right now!

     

    Ready, steady, gooooo pack your bags and cyber knowledge for #DefCamp12!

     

    https://def.camp/tickets/

     

    WHEN: 10th-11th November, 2022

    WHERE: Bucharest, Romania

     

    Call for papers: https://def.camp/call-for-papers/

    Call for contsts: https://def.camp/call-for-contests/

    Become a volunteer: https://def.camp/become-a-volunteer/

     

    Website: https://def.camp/

    • Like 3
    • Thanks 1
    • Upvote 2
  3. Salut, la noi din cate stiu nu e legal si probabil nici in alte tari. O solutie ar fi sa ii dai in judecata dar costa timp, bani si nu merita. Daca erai in SUA merita, acolo se poate da in judecata pentru orice si se pot scoate salarii pe ani de zile din ele.

     

    Cea mai simpla idee ar fi sa discuti cu manager-ul sau cu cineva mai sus de acolo, sa mentionezi ca tu nu esti de acord si ca nu vrei sa se intample asta. Daca nu se poate, sugestia mea sincera e sa pleci de acolo ca nu merita sa lucrezi pentru astfel de specimene.

     

    Cat despre monitorizare nu e nevoie de cine stie ce solutii, monitorizarea ecranului e o mizerie, exista insa solutii de interceptare trafic (root CA pe PC-uri), se verifica DNS-urile, DLP si multe altele printre care Microsoft Defender (cu care cineva poate lua shell la tine). Dar in principiu nu se stie ce faci decat daca faci lucruri suspecte.

     

    Putin pe langa subiect, se pare ca si oamenii de acolo sunt putin cam "sclavi" si nu iti recomand sa lucrezi cu persoane care si-ar vinde familia pentru o firma (si un salariu) de cacat. 

     

    Extra: Daca iti cauti altceva, cauta pana nu se afunda SUA si ulterior alte state in recesiune. In mare ar fi de preferat companii mari care au sanse mici sa crape in conditii economice dificile, dar si acestea pot da oameni afara si pe principiul LIFO, bobocii sunt primii care dispar. 

    • Upvote 1
  4. In 2022 va avea loc a treia ediție a Romanian Cyber Security Challenge - RoCSC, un eveniment anual de tip CTF ce urmărește să descopere tinere talente în domeniul securității cibernetice. La competiție pot participa tineri dornici să își demonstreze abilitățile, ce se pot înscrie online până în ziua concursului. Participanții se vor întrece pe 3 categorii de concurs: Juniori (16-20 de ani), Seniori (21-25 de ani) și Open (disponibil indiferent de vârstă). Participarea este gratuită. Tinerii vor trebui să-și demonstreze abilitățile în domenii precum mobile & web security, crypto, reverse engineering și forensics. Primii clasați la RoCSC22 vor avea oportunitatea de a reprezenta România la Campionatul European de Securitate Cibernetică - ECSC22.

     

    Calendarul ROCSC22:

    Etapa de calificare: 22.07 ora 16:00 - 23.07 ora 22:00
    Finala ROCSC22: 06.08
    Bootcamp pentru selectia echipei pentru competitia ECSC22: 17.08 - 21.08

     

    Premii:

    Categoria Juniori:

    Locul I: 2000 euro
    Locul II: 1000 euro
    Locul III: 500 euro
    Locurile 4-10: premii speciale

    Categoria Seniori:

    Locul I: 2000 euro
    Locul II: 1000 euro
    Locul III: 500 euro
    Locurile 4-10: premii speciale
     

    Pentru a fi eligibili pentru premii, jucătorii trebuie să trimită prezentarea soluțiilor la contact@cyberedu.ro. Jucătorii care participă la categoria Open vor primi doar puncte pe platforma CyberEDU și nu sunt eligibili pentru premii. Competiția este organizată de Centrul Național Cyberint din cadrul Serviciului Român de Informații, Directoratul National de Securitate Cibernetica și Asociația Națională pentru Securitatea Sistemelor Informatice - ANSSI, alături de partenerii Orange România, Bit Sentinel, CertSIGN, Cisco, UIPath, KPMG, Clico, PaloAlto Networks.

    Programul ROCSC 2022

    • Inscrierile se fac pana la data de 22 Iulie 2022:
    • Etapa de calificare: 22.07 ora 16:00 - 23.07 ora 22:00
    • Finala ROCSC22: 06.08
    • Bootcamp pentru selectia echipei pentru competitia ECSC22: 17.08 - 21.08


    Pentru înscriere, apăsați aici.

     

    https://www.rocsc.ro/

    • Like 1
    • Thanks 1
    • Haha 1
    • Upvote 1
  5. 19 minutes ago, 0xStrait said:

    Cum sa nu poți proteja niște site-uri la un atac DDoS banal de 3000-5000 de boți?

     

    Adevarat, intr-o zi erau 3000+ in alta 11.000+. Cred ca RST a avut "atacuri mult mai grele" si cu iptables -j DROP s-au rezolvat instant. 

    Sa vorbeasca cu cei care se ocupa de hosting-ul emag si alte servicii de Black Friday :D 

    • Like 1
    • Thanks 1
    • Haha 1
    • Upvote 4
  6. Wed, May 25, 2022, 3:00 PM - 6:00 PM (your local time)

     

    To our dearest community:
    We are very happy to announce that we are restarting our meetup series. As you know, our team cares deeply about sharing information, tooling and knowledge as openly as possible. Therefore, we are proud to be able to have these specialists in cybersecurity share what they have learned on the frontlines:

    18:00 - 18:45 Tiberiu Boros, Andrei Cotaie - Living off the land
    In security, "Living off the Land" (LotL or LOTL)-type attacks are not new. Bad actors have been using legitimate software and functions to target systems and carry out malicious attacks for many years. And although it's not novel, LotL is still one of the preferred approaches even for highly skilled attackers. Why? Because hackers tend not to reinvent the wheel and prefer to keep a low profile, i.e., leave no "footprints," such as random binaries or scripts on the system. Interestingly, these stealthy moves are exactly why it's often very difficult to determine which of these actions are a valid system administrator and which are an attacker. It's also why static rules can trigger so many false positives and why compromises can go undetected.

    Most antivirus vendors do not treat executed commands (from a syntax and vocabulary perspective) as an attack vector, and most of the log-based alerts are static, limited in scope, and hard to update. Furthermore, classic LotL detection mechanisms are noisy and somewhat unreliable, generating a high number of false positives, and because typical rules grow organically, it becomes easier to retire and rewrite the rules rather than maintain and update them.
    The Threat Hunting team at Adobe set out to help fix this problem. Using open source and other representative incident data, we developed a dynamic and high-confidence program, called LotL Classifier, and we have recently open sourced it to the broader security community. In this webcast you will learn about the LotL Classifier, intended usage and best practices, and how you can obtain and contribute to the project.
    18:50 - 19:35 Ciprian Bejean - Lessons learned when playing with file infectors

     

    Linkedin: https://www.linkedin.com/events/bsidesbucharestonlinemeetup6927924413371678720/

    Zoom: https://us05web.zoom.us/j/83643751520?pwd=UDU0RVE0UmZjWHN2UnJPR095SUxpQT09 

    • Thanks 1
  7. Justiţia britanică a decis extrădarea lui Julian Assange în SUA, unde va fi judecat pentru spionaj

    20.04.2022 14:28
    Julian Assange, în 2017, pe vremea când încă se afla în ambasada Ecuadorului la Londra. Julian Assange, în 2017, pe vremea când încă se afla în ambasada Ecuadorului la Londra. Foto: Getty Images
     

    Justiţia britanică a autorizat în mod oficial extrădarea în SUA a lui Julian Assange, fondatorul WikiLeaks. Autorităţile americane vor să-l judece pe Assange pentru spionaj, informează AFP.

    Tribunalul Westminster Magistrates de la Londra a emis în mod oficial o ordonanţă de extrădare a lui Assange şi revine acum ministrului de interne Priti Patel să o aprobe, deşi avocaţii apărării mai pot încă să facă apel la Înalta Curte.

    Prins într-o îndelungată saga judiciară, australianul este căutat de justiţia americană care vrea să-l judece pentru difuzarea, începând din 2010, a peste 700.000 de documente clasificate cu privire la activităţile militare şi diplomatice ale Statelor Unite, mai ales în Irak şi Afganistan, conform Agerpres.

     

    În 2010 și 2011, WikiLeaks a publicat mii de documente militare și diplomatice clasificate despre războaiele din Afganistan și Irak. Procurorii americani au spus că dezvăluirile au pus în pericol viețile a sute de oameni și că Assange era conștient de acest lucru.

    Urmărit în temeiul unei legi împotriva spionajului, el riscă 175 de ani de închisoare, într-un caz denunţat de organizaţii de apărare a drepturilor omului drept un grav atac împotriva libertăţii presei.

    Pe 14 martie, Julian Assange a văzut dispărând una din ultimele sale speranţe de a evita extrădarea, odată cu refuzul Curţii Supreme britanice de a-i examina recursul.

    Editor : M.L.

     

    Sursa: https://www.digi24.ro/stiri/externe/justitia-britanica-a-decis-extradarea-lui-julian-assange-in-sua-unde-va-fi-judecat-pentru-spionaj-1912295

    • Upvote 1
×
×
  • Create New...