Klarrio heeft op GitHub een netwerk van 2.400 met malware geïnfecteerde repositories en 15.000 valse accounts blootgelegd die legitieme open source-projecten nabootsen om gebruikers te misleiden.
Een onderzoek door het Antwerpse Klarrio heeft geleid tot de ontdekking van 2.400 met malware geïnfecteerde repositories op GitHub. Daarbij werden ook 15.000 valse accounts geïdentificeerd die deze repositories een positieve beoordeling gaven om hun zichtbaarheid te vergroten.
Klarrio is een softwarebedrijf gespecialiseerd in cloud native en cloud-agnostische oplossingen, gebaseerd in Antwerpen. De ontdekking van de malafide repositories gebeurde door de CTO van het bedrijf: Bruno De Bus. Hij maakte zich vanuit een intern veiligheidsperspectief zorgen over verdachte open source-projecten op GitHub.
Van eigen analyse tot groot malware-netwerk
Tijdens een analyse van een ogenschijnlijk legitiem project in programmeertaal Go, ontdekte De Bus dat het repository een kloon was van het originele project. Het verschil zat in geobfusceerde code die onzichtbaar malware binnenhaalde. Opvallend genoeg kreeg het gekloonde project meer positieve beoordelingen dan het origineel.
Klarrio’s CTO breidde het onderzoek uit en traceerde honderden gelijkaardige repositories met soortgelijke kenmerken. Een patroon kwam aan het licht waarbij bots populaire projecten klonen, deze opnieuw publiceren onder andere accounts, en de code voorzien van malware. Automatisch gegenereerde accounts geven vervolgens positieve beoordelingen aan deze kwaadaardige repositories, wat voor gebruikers een vals gevoel van betrouwbaarheid creëert.
Sommige van deze kwaadaardige repositories herschrijven zichzelf voortdurend, vermoedelijk met hulp van AI, om detectie te vermijden.
Herkenbare URL-structuur
De schadelijke code haalt zijn payload op via vaste URL-structuren. Deze volgen het patroon https:///storage/ met als voorbeelddomeinen onder andere alturastreet.icu, kaspmirror.icu, en sharegolem.com.
Klarrio raadt GitHub-gebruikers aan om dit soort URL-patronen actief te blokkeren of op te nemen in monitoringregels. De volledige lijst van verdachte repositories en accounts werd intussen overgemaakt aan GitHub en aan de bevoegde mensen voor het Go-repository. Klarrio stelt bovendien een kopie van het onderzoek beschikbaar voor wie meer inzicht wil in de methodiek en schaal van het netwerk.
Met deze ontdekking onderstreept Klarrio de noodzaak voor strenge controles op open source-platformen, zeker in omgevingen waar open source-componenten breed ingezet worden binnen bedrijfssoftware.