Malware-Laced GitHub Repos Found Masquerading as Developer Tools
(English translation below)
Klarrio ontdekt grootschalig malware-netwerk op GitHub
Klarrio heeft onlangs een belangrijke ontdekking gedaan: Het gaat om een omvangrijk malware-netwerk op open source-platform GitHub dat de CTO van Klarrio, Bruno De Bus, dankzij eigen onderzoek heeft weten bloot te leggen.
Het is al langer bekend dat er door middel van gekloonde Open-Source GitHub repositories pogingen gedaan worden om malware te installeren voor nietsvermoedende gebruikers. Maar de schaal waarop dit plaatsvindt wordt dankzij het onderzoek door Bruno De Bus nu pas duidelijk. Hij ontdekte 2.400 repositories die malware bevatten en 15.000 nep-accounts die deze geïnfecteerde repositories met ratings bij een groter publiek onder de aandacht brengen.
Klarrio bouwt customized dataplatforms en oplossingen voor enterprise-klanten en maakt daarbij gebruik van open source-componenten. Nadat security-experts een zorgwekkende toename was van het aantal malafide klonen van legitieme open source-projecten waarnamen op GitHub, nam Klarrio direct maatregelen. Het open source-intakeproces werd verder aangescherpt met meer veiligheidsmaatregelen, strengere screening, betere controles op herkomst en geautomatiseerde scanners om verdachte code te detecteren.
Een aantal weken nadat deze maatregelen van kracht waren, stuitte het team op een geïnfecteerde GitHub-repository, een kloon van een klein Go-project: zelfde naam, zelfde structuur, maar met toegevoegde, geobfusceerde code die een schadelijke payload binnenhaalde. Opvallend was dat deze geïnfecteerde kloon een hogere rating haalde dan het origineel.
De Bus besloot gedurende een aantal dagen enkele intensieve scans uit te voeren waarbij gekeken werd naar de accounts die een rating hadden gegeven aan deze malware-repository en aan welke andere projecten een rating werd gegeven door deze accounts. Daarnaast werd gezocht naar vergelijkbare patronen op GitHub. Uiteindelijk werden er op deze manier 2.400 repositiories ontdekt die vergelijkbare soorten malware bevatten en 15.000 nep-accounts die deze projecten van een positieve rating voorzien.
De kwaadwillenden gaan als volgt te werk:
- Een bot kloont een repository van een populair project en introduceert deze opnieuw in de Git-community onder een nieuw account met dezelfde frameworknaam.
- Tijdens het klonen en opnieuw aanbieden aan de community vanuit het nieuwe account, wordt malware toegevoegd.
- Bij sommige varianten worden bestanden voortdurend herschreven met gebruik van AI. Hierdoor ontstaat een verkeerd beeld van communitygebruik en -interactie.
- Meerdere, automatisch gecreëerde accounts geven dit kwaadaardige account een hoge rating.
- Een onoplettende gebruiker zou kunnen denken dat hij/zij naar het juiste framework kijkt, maar injecteert de code inclusief de malware.
De malware haalde zijn payload op uit een vaste set URL-patronen, die als volgt waren gestructureerd: https://
- Domains: alturastreet.icu, carvecomi.fun, hyperwordstatus.icu, infinityhel.icu, kaiaflow.icu, kaspamirror.icu, kavarecent.icu, liquitydevve.online, mantrabowery.icu, metalomni.space, monsoletter.icu, numerlink.online, nymclassic.tech, requestbone.fun, sharegolem.com, steemapi.site, uniscomputer.icu, vanartest.website
- Paths: bbb28ef04/fa31546b, de373d0df/a31546bf (Windows- en Linux-versies)
Gebruikers van GitHub wordt ten zeerste aangeraden dit URL-patroon toe te voegen aan hun blokkeerlijsten of monitoringregels.
Klarrio heeft de volledige lijst van geïnfecteerde repositories en accounts gedeeld met GitHub en [email protected] voor verder onderzoek en verwijdering. Ook heeft Klarrio een kopie gemaakt van alle opgespoorde accounts, repositories en gerelateerde activiteiten, deze is beschikbaar ter inzage.
Voor meer informatie, gelieve contact op te nemen met: [email protected]
—
Klarrio Discovers Large-Scale Malware Network on GitHub
Klarrio recently made a significant discovery: It concerns a large malware network on the open-source platform GitHub that Klarrio’s CTO, Bruno De Bus, managed to uncover while doing his own research.
We have known for some time that attempts are being made to install malware for unsuspecting users through cloned open-source GitHub repositories.
But the scale on which this is happening is only now becoming clear, thanks to the efforts of Mr. De Bus. He discovered 2,400 repositories containing malware and 15,000 fake accounts that bring these infected repositories and fraudulent ratings to the attention of a significantly broader audience.
Klarrio builds customized data platforms and solutions for enterprise customers, using open-source components. After security experts noticed a concerning increase in the number of malicious clones of legitimate open-source projects on GitHub, Klarrio took immediate action. The open-source intake process was subsequently tightened with additional security measures, stricter screening, more thorough provenance checks, and automated scanners to detect suspicious code.
A few weeks after these measures were in place, however, the team came across an infected GitHub repository—a clone of a small Go project—same name, same structure, but with added, obfuscated code that fetched a malicious payload. Alarmingly, this infected clone had a higher rating than the original.
Mr. De Bus decided to perform several intensive scans over a number of days, looking at the accounts that had given a rating to this malware repository as well as other projects that received ratings via these bogus accounts.
Similar patterns were searched for on GitHub. As a result, 2,400 repositories containing similar types of malware and 15,000 fake accounts that gave these projects a positive rating were discovered.
The malicious perpetrators proceed as follows:
- A bot clones a repository of a popular project and reintroduces it to the Git community under a new account with the same framework name.
- During the cloning and reintroduction to the community, malware is added to the new account.
- Some variants continuously rewrite files using AI, creating a false impression of community usage and interaction.
- Multiple, automatically created accounts give this malicious account a high rating.
- An unwary user might think he or she is looking at the right framework but inadvertently inject the code including the malware.
The malware retrieved its payload from a fixed set of URL patterns, which were structured as follows: https:// Domains:
alturastreet.icu, carvecomi.fun, hyperwordstatus.icu, infinityhel.icu, kaiaflow.icu, kaspamirror.icu, kavarecent.icu, liquitydevve.online, mantrabowery.icu, metalomni.space, monsoletter.icu, numerlink.online, nymclassic.tech, requestbone.fun, sharegolem.com, steemapi.site, uniscomputer.icu, vanartest.website
Paths:
bbb28ef04/fa31546b, de373d0df/a31546bf (Windows and Linux versions)
GitHub users are strongly advised to add this URL pattern to their blocklists or monitoring rules.
Klarrio has shared the full list of compromised repositories and accounts with GitHub and [email protected] for further investigation and removal. Klarrio has also made a copy of all detected accounts, repositories, and related activities, which is available for review.
If you have any questions or would like to delve deeper into this, please feel free to contact [email protected]
Thanks to the press who have already relayed the information:
Mr. De Bus also saw the following combinations:
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0
