Przejdź na

Malware czaił się na GitHubie. Ktoś dodał backdoory do kopii otwartych programów

GitHub jest miejscem, gdzie gromadzone są tysiące darmowych i komercyjnych projektów Open Source. Oprogramowanie rozwijane z otwartymi źródłami ma opinię bezpiecznego, gdyż każdy może przeanalizować kod na własną rękę, Mimo tego specjaliści znaleźli tam szajkę promującą programy dla Windowsa, macOS-a i Linuxa, zawierające backdoory.

Malware czaił się na GitHubie. Ktoś dodał backdoory do kopii otwartych programówMalware czaił się na GitHubie. Ktoś dodał backdoory do kopii otwartych programów
Anna Rymsza

Na kontach przestępców znajdowało się prawie 400 szkodliwych aplikacji. Były to wersje programów zmodyfikowane tak, by zawierały kod gwarantujący im automatyczne uruchamianie się z zainfekowanym systemem i możliwość pobrania kolejnych szkodliwych komponentów. Na liście znajdowały się między innymi zainfekowane wersje MinGW, gcc, ffmpeg, EasyModbus i gry napisane w Javie (szachy, sudoku, Minecraft i kilka innych). Poszukiwanie zaczęło się od przeglądarki LDAP – JXplorer.

Analiza zainfekowanego JXplorera z VirusTotal
Analiza zainfekowanego JXplorera z VirusTotal

305 binarnych plików ELF było dostępnych na koncie zarejestrowanym na nazwisko Andrew Dunkins, zapewne fałszywe. Kolejne 73 aplikacje były udostępniane przez 88 innych kont. Wszystkie odkryte szkodliwe programy i konta zostały już usunięte z GitHuba. Część z tych kont była wykorzystywana do obserwowania i oceniania repozytoriów z malware, by podnieść ich popularność na GitHubie.

Analitycy z DFIR.it odkryli w nich stworzony w Javie malware o nazwie Supreme NYC Blaze Bot (supremebot.exe). Zainfekowane systemy były podłączane do botnetu, którego zadaniem jest branie udziału w aukcjach internetowych. Botnet specjalizuje się w licytowaniu unikatowych butów z limitowanych edycji.

Zagrożenie jest niewielkie. Obawiać się mogą jedynie te osoby, które korzystały z alternatywnych repozytoriów (zapewne przez przypadek), by pobrać otwartoźródłowe programy. Jako że strony projektów linkują tylko do autentycznych plików, raczej nie mamy czego się obawiać.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Fałszywy SMS. Oszuści podszywają się pod ZUS
Fałszywy SMS. Oszuści podszywają się pod ZUS
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Atak hakerski na Booking. Zdobyli dane klientów
Atak hakerski na Booking. Zdobyli dane klientów
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Zaktualizuj Windowsa: wydano kwietniowe poprawki
Zaktualizuj Windowsa: wydano kwietniowe poprawki
ZANIM WYJDZIESZ... NIE PRZEGAP TEGO, CO CZYTAJĄ INNI! 👇