Op GitHub worden massaal proof-of-concept (PoC) exploits gedeeld die zelf kwetsbaarheden bevatten. Het heeft tijd nodig voordat de ontdekte schadelijke repositories zijn verwijderd.
Je project testen op kwetsbaarheden met een PoC exploit van GitHub, zorgt er één op de tien keer voor dat je kwetsbaarheden binnenhaalt. Tot deze vaststelling kwam een groep onderzoekers van het Leiden Institute of Advanced Computer Science.
Malware
Voor het onderzoek werden 47.300 repositories van GitHub geanalyseerd. De exploit zou scannen naar een kwetsbaarheid die ontdekt werd tussen 2017 en 2021. Uit de steekproef bleken 4.893 repositories schadelijk te zijn. Deze scanden voornamelijk op kwetsbaarheden uit 2020.
Onder de kwetsbaarheden werden malware, trojanen en Cobalt Strike gevonden. Deze verscholen zich in IP-adres-analyses, binary-analyses en hexademical- en Base64-analyses.
GitHub ingelicht
Alle gevaarlijke repositories uit het onderzoek werden doorgegeven aan GitHub. Het zal echter wat tijd vragen voordat deze het reviewproces doorliepen en verwijderd worden. De studie wilde niet alleen de repositories opfrissen, maar hopen dat GitHub inziet dat het nodig is een automatische oplossing te ontwikkelen om gevaarlijke instructies in geüploade code aan te geven.
Aan softwaretesters wordt door de onderzoekers aangeraden om iedere PoC voldoende af te toetsen voordat deze gedraaid wordt. Dat houdt een leesronde van de code in, net als het gebruik van een opensource tool zoals VirusTotal.