URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 134858
[ Назад ]
Исходное сообщение
"Манипуляция с рассылкой уведомлений через GitHub для распространения вредоносного ПО"
Отправлено opennews , 20-Сен-24 09:53 
Распространители вредоносного ПО начали применять новый способ отправки вредоносных писем от имени команды, занимающейся обеспечением безопасности в GitHub. Рассылка нацелена на стимулирование сопровождающих и разработчиков, пользующихся платформой Windows, к совершению действий, приводящих к установке вредоносного ПО на их системы. Метод интересен тем, что письма приходят с реальных почтовых серверов GitHub и, если не обратить внимание на мелочи, напоминают реальные уведомления...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=61895

Содержание
Сообщения в этом обсуждении
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 09:53 
Вроде это было в прошлом месяце. Неужели, работает? На самом деле хороший способ отфильтровать подобные кадры от доступа к репе, жаль, часто повторять не получится.
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Жироватт , 20-Сен-24 09:57 
Хм...спасибо за идею. Думаю, можно попросить ИБшников/сисадминов посодействовать.
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Анонимище , 20-Сен-24 10:19 
Только не удивляйтесь если после подобных "гениальных" идей вас работодатель выставит на мороз
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 12:18 
Только не удивляйтесь если подобных идей ему повысят ЗП сделают ВП и у него будет дача в ЮСА.
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено нах. , 20-Сен-24 12:36 
да с тем десятком стыренных кошелечечков - нахрен ему тот работодатель дальше и нужон...

"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Анонимище , 20-Сен-24 12:38 
Действительно, адвокат будет гораздо нужннее
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено нах. , 20-Сен-24 12:51 
вечно вы тут обгадите хорошую идею :-(

"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Анонимище , 20-Сен-24 10:22 
Или же что придется доказывать судье что в скрипте который загрузился на компьютер испытуемого не было вредоноса.
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 11:38 
> Или же что придется доказывать судье что в скрипте который загрузился на
> компьютер испытуемого не было вредоноса.

Глупости, достаточно трекать. А скрипт не сам загрузился, а был собственноручно загружен оператором.

"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Анонимище , 20-Сен-24 12:17 
Да, но путем введения оператора в заблуждение. В юриспруденции важны не только конкретные действия и их результаты, но также и намерения лиц их совершивших
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 19:05 
А в чём заблуждение? Он же сам говорит загрузить код из интернета и исполнить его, значит, отдать весь контроль ботнету и было целью.
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Жироватт , 20-Сен-24 12:43 
Одного приказа за подписью руководства и ИБшников вполне достаточно, чтобы юный подавальщик-в-суды банально замолчал и ушел на своё рабочее место, с выговором за несоблюдение режима ИБ.
Самым продвинутым можно показать, подписанную ими лично, должностную инструкцию и, подписанный лично ими, инструктаж от ИБ, где это все есть.

Понимаю, тебе неприятно, тебя могут поймать на этом, но в этом и вся соль.

"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Анонимище , 20-Сен-24 14:12 
Что это там за инструкция такая, которая позволяет работодателю без ведома работника устанавливать софт на личный компьютер работника?
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 16:34 
Он сам её установил. Сам ввел команду или кто тебе разрешает хром скачивать, запрос работадателю пишешь?
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Анонимище , 20-Сен-24 18:07 
Ещё раз, важно намерение. В его намерения НЕ входила установка этой программы. С таким же успехом можно сказать, что сам себя отравил человек который выпил чай с потихоря посыпанным ядом
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Вананас , 20-Сен-24 19:17 
Насколько понял, жиробас это про рабочие пекарни, если аж нужно делать приказ и вовлекать безопасников с админами. Тогда да, его не ухватишь. Хотя даже если и дома - такие всегда выкрутятся, особенно если пека сотрудника имеет удалёнку до рабочей локалки - "проверка уязвимости домашнего рабочего места, подключающегося к защищённой ЛВС". Это, ЕМНИП, с самого ковида прописывается в нормативных документах под роспись.

А вообще идея здравая, не дожидаясь всамделишнего залома через прокладку на стуле. Надо бы тоже взять на вооружение, выставляя на мороз самых необучаемых среди техперсонала.

"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Жироватт , 20-Сен-24 09:56 
...а я ведь говорил, что превращение хранилища кода в соцсеть до добра не доведёт.

Напомнило древниючий развод с "антивирусом в браузере".

"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 11:05 
> ...а я ведь говорил

Да ты в каждой новости отмечаешься...

> превращение хранилища кода в соцсеть до добра не доведёт.

Раскрой мысль, как твои умничания соотносятся с новостью? Или ты ее вообще не читал?

"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 12:00 
Напрямую - качеством пользователя, как видно из сабжа.
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено нах. , 20-Сен-24 12:37 
давайте выкинем уже оттуда хренилище кода. Соцсети вполне достаточно.

"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 16:35 
Странная позиция, если учесть что групповая разработка софта — это в первую очередь социальная дисциплина, и уж только потом техническая и научная.
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Вананас , 20-Сен-24 19:22 
Не путай инструмент совместной разработки с соцсетью, в которой зачем-то оставлена возможность совместного написания кода. Гитхаб сейчас в пункте 2.
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 21-Сен-24 00:00 
Я-то как раз не путаю. И гитхаб — самый что ни на есть инструмент. То, что отдельные личности не могут не нагадить в комментариях никак не отменяет этого факта. Как и ваше персональное неумение применить инструмент для решения задачи.
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 22-Сен-24 14:42 
Этот инструмент в последнее время стал наглый, агрессивный, назойлывый, постоянно делающий мозг и срывающий рабочие процессы, да еще "улучшили" до совершенно дикого жора CPU браузером постоянно. Поннимали улучшателей супертулсов по объявлению - и гитхаб отправился вслед за русиновичем, скайпом и прочими когда-то хорошими, но ныне дохлыми или непотребными штуками.
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 21:01 
> ...а я ведь говорил, что превращение хранилища кода в соцсеть до добра не доведёт.

GH не соцсеть и никогда ей не был. А "хранилище кода" без issue и PR нахрен никому не нужно.

"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Dzen Python , 20-Сен-24 21:46 
Ты описал гитхаб образца 2014-15 годов.
Сейчас это полноценная соцсеть. Без котиков и дикпиков, но на их месте СоС'и мусорные пуллы. А в тикетах у любого мало-мальски популярного софта так вообще полноценный цирк (с мамой - реддитом и папой - имиджбодой) творится.
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено hshe , 20-Сен-24 10:00 
нажать сочетания клавиш "Windows+R", "Ctrl+V" и Enter.

Это пять, квест на дол6@еба

"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 11:03 
А ведь у какого-нибудь убунтушника не сработает и он пойдет жаловаться в гитхаб что у них на работает. А саппорту голову ломать что он несёт.
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 13:22 
Мы в молодости через рекомендацию сделать "ALT+F4",
отсеивали не адекватов и залетных мимокрокодилов.
Похоже мамонты не вымрут никогда.
Ну или сама платформа опустилась до уровня "поскрести по полу". (Никогда не понимал, зачем отдавать в интернет собственные файлы.)
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 21-Сен-24 00:32 
> Мы в молодости через рекомендацию сделать "ALT+F4",
> отсеивали не адекватов и залетных мимокрокодилов.

В IRC неплохо работал совет сделать /join 0 или если тип чуть более прошареный, /join #something,0. Хотя некоторые и на предложение /quit въ...ть велись, бывают и такие гроссмейстеры.

> Похоже мамонты не вымрут никогда.
> Ну или сама платформа опустилась до уровня "поскрести по полу".

А что еще от майкрософта ожидать? Ну вот им и "капчу" под уровень их клиентуры сделали.

"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 10:05 
> восхитительный своей простой и наивностью метод

половина поделий устанавливается с этих соевых вконтактов через curl|sudo, чего в этом восхитительного и наивного?

"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 11:45 
Но откуда у соевых вконтактов curl|sudo?
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 11:54 
как правило, они предустановлены в любом модном молодёжном линукса
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено нах. , 20-Сен-24 12:52 
> как правило, они предустановлены в любом модном молодёжном линукса

и в wsl в том числе.
(сегодня самый молодежный лин00ps это оно)

"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 11:01 
Вот тут в каждой теме верещат про выход за границы буфера и безопасТность. А реальные взломы выглядят вот так без всяких растов. И эффективность в разы выше. Причем больше половины растофанатиков бы повелось.
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 11:12 
> Вот тут в каждой теме верещат про выход за границы буфера и безопасТность.

Не верещат, а просто говорят "типи-кал СИ".
Или ты будешь заливать что всякие хартблиды это фигня?

> А реальные взломы выглядят вот так без всяких растов. И эффективность в разы выше.

Т.е если люди бывают тупые то надо еще и овнокод писать?
Ты наверное на си или плюсах пишешь?

>  Причем больше половины растофанатиков бы повелось.

Ты наверное провел исследование или просто пернул в лужу?


"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 11:03 
> Press Windows + R
> Prese Ctrl + V
> Press Enter

Вы это серьезно? 🤦

"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 11:40 
Что это делает? Я так и не понял из описания.
Вроде бы Ctrl+V читает из буфера обмена, а написано что копипуется:
> При нажатии кнопки согласия в буфер обмена копируется команда для загрузки и запуска вредоносного приложения при помощи PowerShell

Enter что делает? Нажимаю Enter в бровзере и ничего не происходит.

"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 11:43 
Операционная система исполняет команду, которую браузер скопировал в буфер обмена. С правами пользователя.
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 11:46 
Вот с этого места подробнее.. Вот в буфере обмена сидит "format c:", почему при нажатии Enter в бровзере происходит выполнение команды?
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 11:50 
Теперь понял, Windows + R открывает окно запуска команды! ЯСНОПОНЯТНО!
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 12:05 
> Вроде бы Ctrl+V читает из буфера обмена, а написано что копипуется:
>> При нажатии кнопки согласия в буфер обмена копируется команда для загрузки и запуска вредоносного приложения при помощи PowerShell

Написано "при нажатии кнопки", а не при нажатии "Ctrl+V". К кнопке на первом экране привязывается вызов JavaScript-метода Clipboard.writeText(), который без явного действия пользователя не вызвать, для этого и нужен первый экран с кнопкой "я не робот". А уже потом  "Windows+R", "Ctrl+V" и Enter

"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Массоны Рептилоиды , 20-Сен-24 11:13 
Здравствуйте, я - молдавский вирус. В виду бедности моего
создателя и общей отсталости развития высоких технологий
нашей страны, я не в силах причинить какой-либо вред вашему
компьютеру. Пожалуйста, сотрите сами несколько самых нужных
вам файлов, а затем разошлите меня по почте своим друзьям.
Благодарю за понимание и сотрудничество.
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 17:16 
Почему же молдавский вирус пишет на русском языке?
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 18:17 
Его целевая аудитория.
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 12:11 
> в буфер обмена копируется

Это нормально что бровзеру такое позволяется?

"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 12:16 
Раньше для такого нужен был флеш. А потом смузики из html5 сделали красиво. Заодно сделав движок неподъемным.
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено нах. , 20-Сен-24 12:39 
> Раньше для такого нужен был флеш.

которому для доступа к клипборду нужно было персональное для этого вот сайта разрешение.

Поэтому он был  небезопастный и его надо было запритить всем!

"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 12:31 
>Рассылка нацелена на стимулирование сопровождающих и разработчиков, пользующихся платформой Windows

Дальше можно не читать.

"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено randomize , 20-Сен-24 15:44 
У пользователей Windows и так уже все, что нужно, простимулировано.
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 23:43 
Ты не переживай, в ненужном на десктопе это не хуже работает. Просто спалиться пока не успели.
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 13:03 
а че программную эмуляцию нажатия клавиш не занесли в браузеры? зачем же так мучать пользователя?
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 13:12 
>вместо описания сути уязвимости, добавляют текст, стилизованный под предупреждение от команды "Github Security Team".

никогда такого не было, и вот опять!
Это что же за уровень разработчиков то теперь? (и тех, кто пишет данную платфору, позволяющую проделывать такие нелепые действия, и тех, кто этим поделием пользуется)
Они совсем уже умственно отсталых привлекать начали?

"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 13:26 
Так ведь по умолчанию исполнение кодов на "помершел" в целевой ОС запрещено же!
Нужно это или обходить одним из 15 способов,
или явно разрешать в виндовых полиси.
Напоминает писаные на визуалбасике вирусы под Win95, которые для запуска требовали еще и движ загрузить для их исполнения.
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено нах. , 20-Сен-24 14:05 
> Так ведь по умолчанию исполнение кодов на "помершел" в целевой ОС запрещено
> же!

В смысле? Там же ж команда, вручную вводимая. А не неподписанный модуль от васяна.

"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 18:53 
Что вы оба такое несёте?
"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено Аноним , 20-Сен-24 17:55 
> нажать сочетания клавиш "Windows+R", "Ctrl+V" и Enter.

Здравствуйте, я чукотский вирус! В силу плохого развития айти в стране я не могу сам причинить вам вред! Пожалуйста сотрите ваши файлы и перешлите меня дальше!

"Манипуляция с рассылкой уведомлений через GitHub для распрос..."
Отправлено onanim , 21-Сен-24 09:24 
ничего смешного нет, вы-то уверенные пользователи ПК и иногда даже системные администраторы, но помимо вас гитхабом пользуются программисты, тестировщики, и прочие сотрудники техподдержки, которые совершенно не обязаны знать все эти тонкости про Ctrl+V.
сам Линус как-то раз говорил, что не умеет устанавливать линукс, для него это очень сложно.