Malware czaił się na GitHubie. Ktoś dodał backdoory do kopii otwartych programów
GitHub jest miejscem, gdzie gromadzone są tysiące darmowych i komercyjnych projektów Open Source. Oprogramowanie rozwijane z otwartymi źródłami ma opinię bezpiecznego, gdyż każdy może przeanalizować kod na własną rękę, Mimo tego specjaliści znaleźli tam szajkę promującą programy dla Windowsa, macOS-a i Linuxa, zawierające backdoory.
05.03.2019 | aktual.: 05.03.2019 21:04
Na kontach przestępców znajdowało się prawie 400 szkodliwych aplikacji. Były to wersje programów zmodyfikowane tak, by zawierały kod gwarantujący im automatyczne uruchamianie się z zainfekowanym systemem i możliwość pobrania kolejnych szkodliwych komponentów. Na liście znajdowały się między innymi zainfekowane wersje MinGW, gcc, ffmpeg, EasyModbus i gry napisane w Javie (szachy, sudoku, Minecraft i kilka innych). Poszukiwanie zaczęło się od przeglądarki LDAP – JXplorer.
305 binarnych plików ELF było dostępnych na koncie zarejestrowanym na nazwisko Andrew Dunkins, zapewne fałszywe. Kolejne 73 aplikacje były udostępniane przez 88 innych kont. Wszystkie odkryte szkodliwe programy i konta zostały już usunięte z GitHuba. Część z tych kont była wykorzystywana do obserwowania i oceniania repozytoriów z malware, by podnieść ich popularność na GitHubie.
Analitycy z DFIR.it odkryli w nich stworzony w Javie malware o nazwie Supreme NYC Blaze Bot (supremebot.exe). Zainfekowane systemy były podłączane do botnetu, którego zadaniem jest branie udziału w aukcjach internetowych. Botnet specjalizuje się w licytowaniu unikatowych butów z limitowanych edycji.
Zagrożenie jest niewielkie. Obawiać się mogą jedynie te osoby, które korzystały z alternatywnych repozytoriów (zapewne przez przypadek), by pobrać otwartoźródłowe programy. Jako że strony projektów linkują tylko do autentycznych plików, raczej nie mamy czego się obawiać.
