Negli ultimi mesi la piattaforma GitHub è diventata il bersaglio di una sofisticata campagna malevola che ha portato alla scoperta di oltre 200 repository trojanizzati. Questi progetti, apparentemente innocui e spesso presentati come strumenti Python per hacking o utility legate al gaming, hanno invece veicolato codici malevoli in grado di rubare informazioni sensibili e compromettere sistemi sia di sviluppatori che di gamer.
L’attività Banana Squad e i repository truffaldini
L’attività, denominata Banana Squad dai ricercatori di cybersecurity, è stata identificata come la prosecuzione di una campagna già segnalata su Python Package Index nel 2023. In quella circostanza, pacchetti falsi avevano raccolto oltre 75.000 download, diffondendo malware progettato per sottrarre dati su sistemi Windows. L’ultima ondata ha permesso di scoprire 67 repository truffaldini su GitHub che imitavano progetti legittimi sia nel nome che nella struttura, inducendo in errore gli utenti meno esperti.
Bersagli e metodi di attacco
Tra i bersagli principali figurano utenti alla ricerca di tool per il cleaning di account, cheat per giochi come Fortnite e utility per Discord, TikTok e PayPal. Una volta scaricati ed eseguiti, questi strumenti scaricavano altri payload dannosi, come codici in grado di compromettere wallet di criptovalute come Exodus e inviare i dati raccolti verso server controllati dagli attaccanti.
Altri gruppi e tecniche di social engineering
La minaccia non si limita a Banana Squad. Recentemente, altri gruppi come Water Curse e Stargazers Ghost Network hanno sfruttato GitHub per distribuzioni su larga scala di malware, utilizzando tecniche di social engineering come la creazione di repository apparentemente popolari grazie a falsi “star”, fork e aggiornamenti frequenti. Questi repository propagano malware Java e Python, backdoor e strumenti per il furto di credenziali, token di sessione e dati dei browser.
Obiettivi e payload
Le campagne mirano non solo agli sviluppatori ma anche ai gamer e ai cybercriminali inesperti, con repository che includono backdoor in script Python, file screensaver, JavaScript e persino eventi PreBuild di Visual Studio. I payload, tra cui AsyncRAT, Remcos RAT e Lumma Stealer, permettono il controllo remoto dei sistemi e il furto continuo di informazioni.
Diffusione e rischi per la supply chain
Le analisi suggeriscono che la diffusione dei link ai repository trojanizzati avvenga anche su Discord e YouTube, rendendo la campagna ancora più pervasiva. Gli attacchi dimostrano come le supply chain del software open source rappresentino oggi un vettore di rischio crescente, sottolineando l’importanza di verificare sempre l’autenticità dei progetti scaricati, soprattutto su piattaforme aperte come GitHub.
