GitHub heeft een kwaadaardige vorm van malware ontdekt die verspreid via geïnfecteerde repositories. De malware wordt de Octopus Scanner genoemd en heeft het gemunt op Apache NetBeans, een geïntegreerde ontwikkelomgeving om Java software te schrijven.
In zijn publicatie over de aanval legt het GitHub Security Labs team uit hoe de malware zich verschuilt in code repositories die naar GitHub zijn geüpload. De malware wordt geactiveerd wanneer een developer een geïnfecteerde repository downloadt en gebruikt om een software programma te maken.
GitHub is de afgelopen tien weken bezig geweest met het achterhalen van wat het beschrijft als ‘virulent digital life’. Op 9 maart kreeg GitHub een tip van een beveiligingsonderzoeker. In de weken die daarop volgden analyseerde GitHub de software verder om de werking ervan te ontdekken.
Zo werkt Octopus Scanner
GitHub maakt het voor developers mogelijk om kopieën van hun repositories te uploaden, zodat andere gebruikers ze kunnen downloaden als basis voor hun eigen projecten. De Octopus Scanner malware maakt misbruik van deze werking van GitHub.
Een developer downloadt een project van een repository die geïnfecteerd is met de software en gebruikt deze broncode om een werkend programma te bouwen. Dat bouwproces activeert de malware. De malware scant de computer om te zien of NetBeans IDE is geïnstalleerd. Als dat niet het geval is, doet de malware verder niets.
Als een developer NetBeans IDE wel heeft geïnstalleerd op zijn computer is er meer aan de hand. De malware infecteert de bestanden met een remote access trojan (RAT), die de hackers controle geeft over de geïnfecteerde computer. De malware probeert ook nieuwe projecten te blokkeren die het geïnfecteerde project vervangen. Zo behoudt het de controle over het systeem.
Moeilijk te verwijderen
Octopus Scanner infecteert niet alleen de computer van een developer, maar ook de broncode van projecten. Wanneer de developer zijn broncode vervolgens weer deelt via GitHub wordt de malware alsmaar verder verspreidt. Bij een scan van de site vond GitHub Security Labs 26 repositories die de malware bevatten.
GitHub worstelt regelmatig met mensen die repositories gebruiken om bewust malware te verspreiden. Normaal kan GitHub deze repositories zonder problemen sluiten en de accounts verwijderen. Met Octopus Scanner ligt het wat ingewikkelder, doordat de eigenaren van de repositories er niet van bewust zijn dat ze geïnfecteerd zijn. Deze gebruikers draaien legitieme projecten. Het blokkeren van deze accounts en repositories kan grote gevolgen hebben voor bedrijven. Ook kan GitHub de geïnfecteerde bestanden niet zomaar verwijderen, omdat ze essentieel zijn voor softwareprojecten.