Banana Squad nasconde malware che ruba dati in falsi repository GitHub

I ricercatori di ReversingLabs hanno recentemente scoperto un nuovo e preoccupante metodo di attacco guidato da un gruppo chiamato Banana Squad. Questo gruppo, identificato per la prima volta dai ricercatori di Checkmarx nell'ottobre 2023, è noto per i suoi metodi subdoli, e il suo nome deriva da un vecchio indirizzo internet dannoso, bananasquadru .

Il team di ReversingLabs, tra cui il principale ricercatore di malware Robert Simmons, ha trovato oltre 60 cartelle di progetto false, chiamate repository, su GitHub . Queste cartelle sembravano veri e propri strumenti di hacking scritti in Python, ma in realtà erano trojanizzate, il che significa che contenevano codice dannoso nascosto.

Nei loro precedenti attacchi, a partire da aprile 2023, Banana Squad ha diffuso centinaia di pacchetti software dannosi con diversi nomi utente, come hanno sottolineato i ricercatori nel loro post sul blog condiviso con Hackread.com. Questi programmi erano progettati per computer Windows e miravano a "rubare enormi quantità di dati sensibili", tra cui informazioni da computer, app, browser web e persino wallet di criptovalute, reindirizzando il denaro.

Questi pacchetti dannosi sono stati scaricati quasi 75.000 volte prima di essere individuati e rimossi. Più recentemente, nel novembre 2024, un progetto dannoso di Banana Squad, trovato su dieserbenniru , ha mostrato un nuovo trucco. Utilizzavano una funzionalità di GitHub che impediva il ritorno a capo di lunghe righe di codice.

Inoltre, gli aggressori hanno aggiunto numerosi spazi per nascondere il codice dannoso, rendendolo invisibile a chiunque lo legga. Questo rende molto più difficile individuare il pericolo nascosto. Banana Squad utilizza comunemente account utente falsi, spesso con un solo progetto elencato, per ospitare questi repository dannosi.

Oltre alle attività specifiche di Banana Squad, l'aumento complessivo del rischio OSS indica problemi persistenti. Un nuovo rapporto per il 2025 di ReversingLabs mostra un quadro in evoluzione della sicurezza del software open source (OSS).

Sebbene nel complesso il malware rilevato nei repository OSS sia diminuito significativamente nel 2024 (un calo del 70% su piattaforme come npm, PyPI e RubyGems rispetto al 2023), il rischio per lo sviluppo software derivante da OSS è in realtà in aumento.

Questi autori di minacce stanno diventando più intelligenti. Stanno utilizzando metodi di attacco più nascosti e complessi, soprattutto su piattaforme come GitHub, invece di limitarsi a caricare malware semplici. Questa tendenza positiva nella riduzione del malware è in parte dovuta a migliori misure di sicurezza, tra cui l'autenticazione a due fattori obbligatoria (2FA) e il Malicious Packages Repository di OpenSSF, lanciato nel 2023 .

Altri report indicano problemi come un aumento delle fughe di notizie segrete nel 2024, in cui vengono rivelati dati di accesso sensibili. Inoltre, un'analisi dei principali pacchetti OSS ha rivelato numerose falle di sicurezza e codice corrotto, ovvero la dipendenza da codice obsoleto e non più aggiornato. Ciò significa che la popolarità non è sinonimo di sicurezza. L'evoluzione delle minacce implica che chiunque utilizzi software open source debba essere più attento e utilizzare strumenti migliori per proteggersi da gruppi come Banana Squad e altre minacce emergenti.