Klarrio ontdekt grootschalig malware-netwerk op GitHub

Het is al langer bekend dat er door middel van gekloonde Open-Source GitHub repositories pogingen gedaan worden om malware te installeren voor nietsvermoedende gebruikers. Maar de schaal waarop dit plaatsvindt wordt dankzij het onderzoek door Bruno De Bus nu pas duidelijk. Hij ontdekte 2.400 repositories die malware bevatten en 15.000 nep-accounts die deze geïnfecteerde repositories met ratings bij een groter publiek onder de aandacht brengen.

Klarrio bouwt customized dataplatforms en oplossingen voor enterprise-klanten en maakt daarbij gebruik van open source-componenten. Nadat security-experts een zorgwekkende toename was van het aantal malafide klonen van legitieme open source-projecten waarnamen op GitHub, nam Klarrio direct maatregelen. Het open source-intakeproces werd verder aangescherpt met meer veiligheidsmaatregelen, strengere screening, betere controles op herkomst en geautomatiseerde scanners om verdachte code te detecteren.

Een aantal weken nadat deze maatregelen van kracht waren, stuitte het team op een geïnfecteerde GitHub-repository, een kloon van een klein Go-project: zelfde naam, zelfde structuur, maar met toegevoegde, geobfusceerde code die een schadelijke payload binnenhaalde. Opvallend was dat deze geïnfecteerde kloon een hogere rating haalde dan het origineel.

De Bus besloot gedurende een aantal dagen enkele intensieve scans uit te voeren waarbij gekeken werd naar de accounts die een rating hadden gegeven aan deze malware-repository en aan welke andere projecten een rating werd gegeven door deze accounts. Daarnaast werd gezocht naar vergelijkbare patronen op GitHub. Uiteindelijk werden er op deze manier 2.400 repositiories ontdekt die vergelijkbare soorten malware bevatten en 15.000 nep-accounts die deze projecten van een positieve rating voorzien.

De kwaadwillenden gaan als volgt te werk:

• Een bot kloont een repository van een populair project en introduceert deze opnieuw in de Git-community onder een nieuw account met dezelfde frameworknaam.
• Tijdens het klonen en opnieuw aanbieden aan de community vanuit het nieuwe account, wordt malware toegevoegd.
• Bij sommige varianten worden bestanden voortdurend herschreven met gebruik van AI. Hierdoor ontstaat een verkeerd beeld van communitygebruik en -interactie.
• Meerdere, automatisch gecreëerde accounts geven dit kwaadaardige account een hoge rating.

Een onoplettende gebruiker zou kunnen denken dat hij/zij naar het juiste framework kijkt, maar injecteert de code inclusief de malware.

De malware haalde zijn payload op uit een vaste set URL-patronen, die als volgt waren gestructureerd: https:///storage/. De Bus zag de volgende combinaties:

Domains: alturastreet.icu, carvecomi.fun, hyperwordstatus.icu, infinityhel.icu, kaiaflow.icu, kaspamirror.icu, kavarecent.icu, liquitydevve.online, mantrabowery.icu, metalomni.space, monsoletter.icu, numerlink.online, nymclassic.tech, requestbone.fun, sharegolem.com, steemapi.site, uniscomputer.icu, vanartest.website Paths: bbb28ef04/fa31546b, de373d0df/a31546bf (Windows- en Linux-versies)

Gebruikers van GitHub wordt ten zeerste aangeraden dit URL-patroon toe te voegen aan hun blokkeerlijsten of monitoringregels.

Klarrio heeft de volledige lijst van geïnfecteerde repositories en accounts gedeeld met GitHub en security@golang.org voor verder onderzoek en verwijdering.