ВРАЗЛИВОСТІ СВІТ

Дослідники повідомляють про знайдені облікові записи GitHub, які містили бильше 300 програм з бекдорами

89 аккаунтів допомогало розвивати 73 репозиторія, які мистили більше 300 шкідливих додатків

Спеціаліст з інформаційної безпеки виявив зловмисні облікові записи GitHub, що публікують понад 300 додатків для Windows, Mac і Linux.
У зразках, проаналізованих командою безпеки DFIR.it,  виявили що додатки завантажували шкідливе програмне забезпечення на основі Java з назвою Supreme NYC Blaze Bot (supremebot.exe).
На думку дослідників,  “sneaker bot“, це варіант шкідливого програмного забезпечення, яке брало участь у онлайн-аукціонах кросівок з обмеженим тиражем.

Усі облікові записи GitHub, які розміщували файли з бекдорами були вимкнені.
Один аккаунт, зокрема, зареєстрований на ім’я Ендрю Дункінса, розміщав близько 305 бінарних ELF файлів з бекдорами. Облікові записи, які не розміщували додатки в своїх репозиторіях, використовувалися для “відстеження” або “перегляду” шкідливих сховищ і сприяли підвищенню їхньої популярності в результатах пошуку GitHub.

Деякі програми та бібліотеки, для яких хакери створили версії з бекдорами, включають MinGW, GCC, Ffmpeg, EasyModbus і різні Java-ігри.
Данне розслідування почалося, коли дослідники виявили шкідливу версію JXplorer LDAP-браузера.

Злдовмисне ПЗ   мімікрувало під JXplorer 3.3.1.2, «крос-платформенний LDAP-браузер і редактор», який написано на Java. Принаймні, так зазначено на його офіційній веб-сторінці. Чому це було дивно? В основному в тому, що я не очікував, що інсталятор для досить популярного браузера LDAP створить заплановане завдання для завантаження та виконання коду PowerShell з субдомену, розміщеного на безкоштовному DNS сервісі.

Більшість користувачів наведених додатків будуть в безпеці, якщо вони будуть завантажувати програми з офіційних веб-сайтів і уникати випадкових скачквань з зловмисних репозиторїв GitHub.