Независимый исследователь заявил, что обнаружил более 10 тысяч GitHub-репозиториев, которые маскируются под обычные open-source проекты, но ведут пользователей к ZIP-архивам с троянами.
Независимый исследователь заявил, что обнаружил более 10 тысяч GitHub-репозиториев, которые маскируются под обычные open-source проекты, но ведут пользователей к ZIP-архивам с троянами.
По словам разработчика под ником Orchid, злоумышленники копируют реальные репозитории вместе с историей коммитов и списком участников, чтобы создать видимость давно существующего и надежного проекта.
После этого в README.md добавляют ссылку на ZIP-архив. Внутри, как утверждает исследователь, находятся скрипт запуска, исполняемый файл-загрузчик, библиотека Lua и другие файлы. При проверке самой ссылки VirusTotal может не находить угроз, однако при загрузке архива сервис выявляет троян.
Исследователь заметил еще одну особенность схемы: злоумышленники регулярно удаляют последний коммит и создают новый с тем же изменением. Обычно он называется Update README.md и содержит только ссылку на архив.
По его предположению, это может помогать репозиториям оставаться свежими в поисковой выдаче и обходить автоматические механизмы обнаружения.
Чтобы найти похожие проекты, автор собрал данные о GitHub-событиях через сервис GH Archive и отфильтровал репозитории с подозрительной активностью. Он искал проекты, где README регулярно обновляется, содержит ссылку на ZIP-архив, а история коммитов и участников похожа на историю другого репозитория.
Сначала исследователь нашел только 14 проектов, но затем изменил критерии поиска. После этого его скрипт обнаружил около 40 тысяч подозрительных репозиториев, из которых примерно 10 тысяч, по его оценке, полностью соответствовали найденному шаблону.
Разработчик утверждает, что схема действует уже много месяцев, а некоторые репозитории существуют больше года. Он также отмечает, что GitHub начал удалять часть найденных проектов, однако новые похожие репозитории продолжают появляться.
Похожая схема уже фиксировалась раньше. В апреле другой исследователь описал 109 поддельных GitHub-репозиториев, через которые распространялись загрузчик SmartLoader и троян StealC.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.