GitHub kampt al enkele maanden met een malwarecampagne waarbij aanvallers legitieme coderegisters kopiëren, infecteren met malware en opnieuw verspreiden.
Wees voorzichtig met het downloaden van coderegisters op GitHub: niet alles is wat het lijkt op het opensourceplatform. Sinds mei al wordt GitHub geteisterd met kwaadaardige Python-registers die de schijn van legitieme code hebben. Volgens securitybedrijf Apiiro zouden er minstens 100.000 schadelijke coderegisters rondslingeren.
Onderzoekers van het bedrijf doen de methodiek achter de malwarecampagne uit de doeken. Kwaadwillige actoren spelen een gevaarlijk spelletje copy-paste met legitieme coderegisters. Zo kopiëren legitieme Python-code en verstoppen hier malware in. Vervolgens worden duizenden ‘clones’ van het register gemaakt onder dezelfde beschrijving als de originele versie en verspreid via GitHub en andere kanalen. Eens geïnstalleerd, haalt de malware gevoelige gegevens zoals logingegevens van andere applicaties op van het slachtoffer.
lees ook
Github’s Copilot Enterprise vanaf nu beschikbaar
Buiten het scherm
GitHub heeft de middelen om coderegisters te scannen op malware en het grootste deel van de clones wordt dan ook al snel verwijderd. Moest dat niet het geval zijn, zou het aantal kwaadaardige bestanden tot in de miljoenen kunnen oplopen, vermoedt Apiiro. Maar de aanvallers hebben ook hun eigen trucjes om de malware te verstoppen.
De exec-functie, die ervoor zorgt dat de schadelijke code wordt uitgevoerd, wordt verstopt door honderden witregels aan de het coderegisters toe te voegen. Hierdoor valt het stukje malware letterlijk ‘buiten het scherm’ bij een manueel onderzoek. Door deze verstoppingstruc kunnen honderdduizend kwaadaardige registers blijven voortbestaan, legt Trend Micro uit in een blog.
Wetende dat GitHub meer dan vierhonderd miljoen registers telt, is de kans dus relatief klein dat je op een kwaadaardige registerclone uitkomt. De onderzoekers vrezen echter dat GitHub-gebruikers de clones ook kunnen verspreiden zonder dat ze het zelf beseffen. GitHub erkent dat het om een ernstig probleem gaat en dat het naar een oplossing zoekt om er definitief komaf mee te maken, al lijkt het die oplossing nog niet te hebben gevonden.