Cybercriminelen verspreiden malware via gekloonde GitHub-repositories

De GitHub-repositories zijn aan het licht gekomen tijdens onderzoek door Bruno De Bus, CTO van Klarrio. Het bedrijf, gespecialiseerd in het bouwen van dataplatforms en oplossingen voor enterprise-klanten, meldt maatregelen te hebbenn genomen nadat security-experts een toename zagen in het aantal malafide klonen van legitieme open-source-projecten op GitHub. Het bedrijf scherpte zijn open-source-intakeproces aan met extra veiligheidsmaatregelen, strengere screening, betere controles op herkomst en geautomatiseerde scanners om verdachte code te detecteren.

Code toegevoegd

Enkele weken na de implementatie van deze maatregelen stuitte het team van Klarrio op een geïnfecteerde GitHub-repository, een kloon van een klein Go-project. Deze kloon had dezelfde naam en structuur als het origineel, maar bevatte toegevoegde, geobfusceerde code die een schadelijke payload binnenhaalde. Opvallend was dat deze geïnfecteerde kloon een hogere rating had dan het origineel.

De Bus voerde gedurende enkele dagen intensieve scans uit om de accounts te identificeren die een rating hadden gegeven aan deze malware-repositories. Hierbij werd gekeken naar welke andere projecten deze accounts hadden beoordeeld en of er vergelijkbare patronen op GitHub te vinden waren. Uiteindelijk werden er 2.400 repositories ontdekt die vergelijkbare soorten malware bevatten en 15.000 nep-accounts die deze projecten van positieve ratings voorzagen.

Van hoge rating voorzien

De kwaadwillenden gebruiken een specifieke methode om hun doel te bereiken. Een bot kloont een repository van een populair project en introduceert deze opnieuw in de Git-community onder een nieuw account met dezelfde frameworknaam. Tijdens het klonen en opnieuw aanbieden aan de community vanuit het nieuwe account, wordt malware toegevoegd. Bij sommige varianten worden bestanden voortdurend herschreven met gebruik van AI, waardoor een verkeerd beeld van communitygebruik en -interactie ontstaat. Meerdere, automatisch gecreëerde accounts geven dit kwaadaardige account een hoge rating, waardoor onoplettende gebruikers mogelijk denken dat ze naar het juiste framework kijken, maar in werkelijkheid de code inclusief de malware injecteren.

De malware haalt zijn payload op uit een vaste set URL-patronen, die als volgt zijn gestructureerd: https://<domein>/storage/<path>. De Bus zag verschillende combinaties van domeinen en paden, waaronder alturastreet.icu, carvecomi.fun en hyperwordstatus.icu. De gebruiker paths zijn bbb28ef04/fa31546b (Windows) en de373d0df/a31546bf (Linux). Gebruikers van GitHub wordt aangeraden dit URL-patroon toe te voegen aan hun blokkeerlijsten of monitoringregels.

Klarrio meldt de volledige lijst van geïnfecteerde repositories en accounts te hebben gedeeld met GitHub en security@golang.org voor verder onderzoek en verwijdering.