- 26,438
- 46
- 8 Ноя 2022
Странная метка в логах сулит серьёзные неприятности.
Масштабная атака на цепочку поставок программного обеспечения затронула сотни репозиториев на GitHub. Злоумышленники захватывают аккаунты разработчиков и незаметно внедряют вредоносный код в популярные Python-проекты, включая библиотеки, веб-приложения и исследовательские наработки.
Команда StepSecurity зафиксировала кампанию, получившую название «ForceMemo». Первые заражения появились 8 марта 2026 года, после чего число скомпрометированных репозиториев продолжило расти. Вредоносный код добавляют в ключевые файлы вроде setup.py, main.py или app.py. При установке пакета или запуске проекта запускается скрытая нагрузка.
Захват аккаунтов происходит через вредоносное ПО GlassWorm , которое распространяется через заражённые расширения для Visual Studio Code и Cursor. Программа крадёт токены доступа к GitHub из разных источников, включая локальные файлы и переменные окружения. Получив доступ, атакующий внедряет код сразу во все репозитории жертвы.
Метод подмены выглядит особенно скрытно. Злоумышленник берёт последний легитимный коммит, добавляет вредоносный код и выполняет принудительную отправку изменений. История репозитория при этом сохраняет прежние автора, сообщение и дату, а подмену выдаёт только дата коммиттера. Во многих случаях в поле электронной почты указан «null», что стало характерным признаком атаки.
После запуска программа обращается не к обычному серверу управления, а к блокчейну Solana . Там хранится ссылка на следующую стадию атаки, что делает инфраструктуру устойчивой к блокировкам. После получения инструкции вредонос загружает Node.js, скачивает зашифрованный JavaScript-файл и выполняет его. В системе создаётся файл для повторного запуска через два дня. Такая схема характерна для похитителей данных и криптокошельков.
Анализ активности показал, что инфраструктура атаки использовалась ещё с конца 2025 года. Текущая волна на GitHub стала развитием прежней кампании GlassWorm. Ранее злоумышленники уже заражали репозитории, но применяли другие методы маскировки.
Под удар попали проекты на Django, Flask, Streamlit и библиотеки, устанавливаемые напрямую из GitHub . В ряде случаев заражение затронуло сразу несколько репозиториев одного владельца или организации, что подтверждает компрометацию аккаунтов.
Атака остаётся активной. Разработчикам рекомендуют проверять историю коммитов, обращать внимание на расхождение дат и искать характерный маркер вредоносного кода. Также стоит контролировать появление подозрительных файлов и неожиданных сетевых соединений при сборке проектов.
Масштабная атака на цепочку поставок программного обеспечения затронула сотни репозиториев на GitHub. Злоумышленники захватывают аккаунты разработчиков и незаметно внедряют вредоносный код в популярные Python-проекты, включая библиотеки, веб-приложения и исследовательские наработки.
Команда StepSecurity зафиксировала кампанию, получившую название «ForceMemo». Первые заражения появились 8 марта 2026 года, после чего число скомпрометированных репозиториев продолжило расти. Вредоносный код добавляют в ключевые файлы вроде setup.py, main.py или app.py. При установке пакета или запуске проекта запускается скрытая нагрузка.
Захват аккаунтов происходит через вредоносное ПО GlassWorm , которое распространяется через заражённые расширения для Visual Studio Code и Cursor. Программа крадёт токены доступа к GitHub из разных источников, включая локальные файлы и переменные окружения. Получив доступ, атакующий внедряет код сразу во все репозитории жертвы.
Метод подмены выглядит особенно скрытно. Злоумышленник берёт последний легитимный коммит, добавляет вредоносный код и выполняет принудительную отправку изменений. История репозитория при этом сохраняет прежние автора, сообщение и дату, а подмену выдаёт только дата коммиттера. Во многих случаях в поле электронной почты указан «null», что стало характерным признаком атаки.
После запуска программа обращается не к обычному серверу управления, а к блокчейну Solana . Там хранится ссылка на следующую стадию атаки, что делает инфраструктуру устойчивой к блокировкам. После получения инструкции вредонос загружает Node.js, скачивает зашифрованный JavaScript-файл и выполняет его. В системе создаётся файл для повторного запуска через два дня. Такая схема характерна для похитителей данных и криптокошельков.
Анализ активности показал, что инфраструктура атаки использовалась ещё с конца 2025 года. Текущая волна на GitHub стала развитием прежней кампании GlassWorm. Ранее злоумышленники уже заражали репозитории, но применяли другие методы маскировки.
Под удар попали проекты на Django, Flask, Streamlit и библиотеки, устанавливаемые напрямую из GitHub . В ряде случаев заражение затронуло сразу несколько репозиториев одного владельца или организации, что подтверждает компрометацию аккаунтов.
Атака остаётся активной. Разработчикам рекомендуют проверять историю коммитов, обращать внимание на расхождение дат и искать характерный маркер вредоносного кода. Также стоит контролировать появление подозрительных файлов и неожиданных сетевых соединений при сборке проектов.
- Источник новости
- www.securitylab.ru
