Cybercriminelen verspreiden met malware gelinkte URL’s van ogenschijnlijk Microsoft repositories via de opmerkingen van GitHub-projecten. De manier van malwareverspreiding is zeer gevaarlijk en persistent.
Volgens onderzoek proberen cybercriminelen actief malware te verspreiden via URL’s die in de comment-secties van GitHub-projecten worden geplaatst. Deze URL’s geven de indruk dat het om legitieme Microsoft repositories gaat, maar niets is minder waar. Wanneer de URL’s nader worden bekeken, is echter geen enkele relatie te vinden met Microsoft wat betreft de bestanden in de broncode van het project.
McAfee waarschuwde onlangs dat een nieuwe variant van de LUA malware uploader Redline Stealer trojan wordt verspreid door te doen alsof het legitieme Microsoft repositories zijn voor de ‘C++ Library Manager voor Windows, Linux en MacOS’, ook bekend als ‘vcpkg’ en de STL library.
Verspreiding via commits
Uiteindelijk bleken de bestanden geen onderdeel te zijn van ‘vcpkg’, maar van opmerkingen bij commits of problemen in het betreffende project. GitHub-gebruikers kunnen in de commentaarsectie van een project een bestand toevoegen, bijvoorbeeld archieven of documenten, die vervolgens naar het CDN van GitHub worden geüpload. Deze bestanden worden vervolgens aan het betreffende project gekoppeld met een unieke URL.
Deze specifieke URL’s leiden niet naar een bijdrage, maar naar malware. Daarnaast blijft de betreffende URL altijd werkzaam, zelfs na het verwijderen van de bijdrage. Dit maakt de aanwezigheid en de mogelijkheid tot verspreiding van de malware persistent.
Verspreidingsmethode zeer gevaarlijk
De manier waarop de cybercriminelen deze malware proberen te verspreiden, stelt hen in staat om bijzonder vervaardigde en vooral ook overtuigende URL’s te maken. Daarnaast maakt het feit dat deze methode van malwareverspreiding in principe voor iedere publieke GitHub-posting kan worden gebruikt, het extreem gevaarlijk.
Uit verder onderzoek blijkt dat deze manier van malwareverspreiding via GitHub al langer door cybercriminelen wordt misbruikt. Eerste tekenen van de verspreiding van malware, niet alleen de nu aangetroffen kwaadaardige code, maar ook andere varianten, dateren al uit begin maart van dit jaar.
Comments offline zetten
GitHub-gebruikers kunnen zich tegen deze vorm van malwareverspreiding beschermen door bijvoorbeeld de comments onder een GitHub-project uit te zetten. Dit kan slechts voor zes maanden, waarna alles opnieuw offline moet worden gezet. Deze methode is verder niet ideaal omdat hiermee het niet meer mogelijk is om commentaren te leveren over mogelijke bugs of suggesties door te geven.
GitHub heeft inmiddels de URL’s die met Microsoft-repositories worden geassocieerd van zijn platform verwijderd. URL’s die linken naar andere malwarevarianten zijn nog steeds beschikbaar.
Lees ook: ‘Toenemend aantal geheimen lekken in openbare GitHub repositories’