Banana Squad Tấn Công GitHub Với 60+ Repository Độc Hại: Cách Bảo Vệ

19/06/2025
2 mins read
Nội dung
Threat Actor Banana Squad Khai Thác GitHub Với Hơn 60 Repository Độc Hại
Tổng Quan
TTPs (MITRE ATT&CK IDs)
Cơ Sở Hạ Tầng (Infrastructure)
Indicators of Compromise (IOCs)
Khuyến Nghị Khắc Phục
Kết Luận

Threat Actor Banana Squad Khai Thác GitHub Với Hơn 60 Repository Độc Hại

Tổng Quan

Một chiến dịch tấn công mới đã được phát hiện, trong đó threat actor có tên Banana Squad đang khai thác các repository trên GitHub. Chiến dịch này sử dụng hơn 60 repository trên GitHub, chứa các công cụ hacking giả mạo được viết bằng Python. Những repository này được thiết kế để trông giống hệt các repository hợp pháp, nhằm đánh lừa người dùng.

TTPs (MITRE ATT&CK IDs)

  • Stealth và Sophistication: Nhóm tấn công sử dụng các phương pháp tinh vi và ẩn giấu để qua mặt các biện pháp phát hiện trên nền tảng như GitHub.
  • Trojanization: Tin tặc tạo ra các phiên bản trojan hóa của những repository hợp pháp, gây khó khăn trong việc nhận biết bằng mắt thường. Chúng lợi dụng một tính năng giao diện người dùng (UI) của GitHub, trong đó các dòng mã dài không tự động xuống dòng, để che giấu mã độc hại.

Cơ Sở Hạ Tầng (Infrastructure)

  • GitHub Repositories: Chiến dịch liên quan đến 67 repository trên GitHub, chứa hàng trăm tệp Python độc hại được trojan hóa.
  • Domains:
    • Bananasquad[.]ru: Tên miền độc hại đầu tiên được liên kết với Banana Squad.
    • Discherbenni[.]ru: Tên miền liên quan đến một repository đơn lẻ, được các nhà nghiên cứu tại SANS Internet Storm Center phân tích vào tháng 11 năm 2024.

Indicators of Compromise (IOCs)

  • File Names: Các tệp Python độc hại khai thác tính năng UI của GitHub để che giấu nội dung mã backdoor.
  • Command-Line Example: Dưới đây là một ví dụ về cách tin tặc sử dụng các khoảng trống dài để đẩy mã backdoor độc hại ra khỏi tầm nhìn trên màn hình:
    # Example of how attackers incorporate long spaces to push malicious backdoor code off the screen
long_line_of_code = "a" * 1000 + "malicious_backdoor_code"

Khuyến Nghị Khắc Phục

  • Kiểm Tra Công Cụ Mã Nguồn Mở: Xác minh tính toàn vẹn của các tệp build, script và lịch sử repository trước khi sử dụng, đặc biệt đối với các công cụ tải từ GitHub.
  • Phát Hiện và Loại Bỏ: Xác định và loại bỏ các gói độc hại khỏi các repository mã nguồn mở để ngăn chặn thêm các hành vi khai thác.

Kết Luận

Chiến dịch tấn công của Banana Squad trên GitHub là một ví dụ điển hình về cách các threat actor sử dụng các phương pháp tinh vi để che giấu mã độc trong các nền tảng mã nguồn mở đáng tin cậy. Việc kiểm tra kỹ lưỡng các repository và áp dụng các biện pháp phòng ngừa là cần thiết để giảm thiểu rủi ro từ các mối đe dọa tương tự trong tương lai.