На GitHub выявлены 74 репозитория с бэкорами

Анализируя типовое вредоносное ПО один из исследователей безопасности выявил на GitHub цепочку учетных записей, предлагающих подложные репозитории с кодом, включающим вредоносный код для получения контроля за системой пользователя. Всего было выявлено 74 репозитория с вредоносным кодом и несколько сотен исполняемых файлов в формате ELF, содержащих бэкдоры. В настоящее время все связанные с выявленной вредоносной активностью учетные записи уже удалены с GitHub.

В ходе классификации вредоносных вставок был выделен 41 вариант бэкдоров, созданный на основе нескольких типовых реализаций для получения удаленного контроля за системой. В большинстве случаев вредоносный код обеспечивал загрузку и выполнение скрипта с внешнего сайта. Проблемные репозитории включали форки или бинарные сборки известных проектов, таких как FFmpeg, LAME, JXplorer и EasyModbus, измененные с целью получения контроля за системами пользователей. Бэкдоры были сформированы для Linux, Windows и macOS.

Интересно, что список учетных записей с вредоносным кодом был определен путем анализа социальных связей у пользователя, в коде которого изначально был найден бэкдор. Оценив пользователей, отслеживавших изменения и выставлявших "звездочки" (списки Watch и Star) было выделено 89 типовых учетных записей, распространявших код с бэкдорами. Например, в 9 репозиториях пользователя adunkins (Andrew Dunkins) было найдено 305 исполняемый файлов с бэкдорами, в том числе поставлявшиеся под видом инструментариев OpenWRT и MinGW.