image

Onderzoekers vinden honderdduizend besmette repositories op GitHub

donderdag 29 februari 2024, 11:33 door Redactie, 6 reacties

Onderzoekers hebben op GitHub meer dan honderdduizend besmette repositories ontdekt die zich voordoen als legitieme repositories, maar in werkelijkheid malware bevatten. Repositories bestaan uit broncode en bestanden van softwareprojecten. Bij de waargenomen aanvallen klonen aanvallers bestaande, legitieme repositories. Vervolgens worden de gekloonde repositories van malware voorzien en opnieuw naar GitHub met identieke namen geüpload.

Deze gekloonde, besmette repositories worden dan automatisch duizenden keren geforkt. De aanvallers proberen dan door middel van social engineering, bijvoorbeeld via berichten op fora en Discord, gebruikers naar de malafide repositories te lokken. Het komt echter ook voor dat gebruikers zelf de verkeerde repository kiezen, aldus onderzoekers van securitybedrijf Apiiro.

De meeste geforkte malafide repositories worden automatisch door GitHub verwijderd, maar de handmatig geüploade repositories worden vaak gemist en weten zo te overleven, zo laten de onderzoekers verder weten. Vanwege het grote aantal malafide repositories gaat het nog steeds om vele duizenden repositories. De malware in de repositories steelt wachtwoorden, cookies en andere vertrouwelijke data en stuurt die terug naar de aanvallers.

Reacties (6)
29-02-2024, 11:47 door Anoniem
Ah, ja, men moet altijd uitkijken met forks, (forks zijn aftakkingen, kloons van het originele project) het is het beste om de originele bron te achterhalen en deze te downloaden.
De GitHub website is overigens van Microsoft.
29-02-2024, 11:50 door Anoniem
Wel worden deze besmette repo's (volgens de bron van dit nieuwsbericht) snel verwijderd, en men moet niet vergeten dat er een gigantische hoeveeldheid repos bestaan. (Miljarden) Dus de hoeveelheid valt in vergelijking reuze mee, wel is het belangrijk om te zorgen dat men ook zelf goed controleert of het geen kopie van een repo is.
29-02-2024, 12:53 door Anoniem
Door Anoniem:De GitHub website is overigens van Microsoft.

En daarmee impliceer je dat... ? Dat dergelijke aanvallen op een willekeurig ander platform niet zouden werken of zo?
29-02-2024, 12:59 door Anoniem
Door Anoniem: Ah, ja, men moet altijd uitkijken met forks, (forks zijn aftakkingen, kloons van het originele project) het is het beste om de originele bron te achterhalen en deze te downloaden.
De GitHub website is overigens van Microsoft.
Ja, en?
29-02-2024, 16:42 door Anoniem
@Vandaag, 12:53 door Anoniem
@Vandaag, 12:53 door Anoniem

2x vragen naar de bekende weg en 1x slechte discussiemethode (iemand woorden in de mond leggen).

Microsoft heeft heel lang de eigen software redelijk goed weten te beschermen tegen malware. Maar diezelfde mate van bescherming ontbreekt op Github. Er wordt duidelijk niet gescand.

Overigens is niet alles dat virusscanners detecteren schadelijk. Zo heb je op zich volledig legitieme scripts om registratie aan te passen. Die maken gewoon gebruik van de tools in Windows. Veel scanners detecteren die scripts als PuP (Potentially unwanted Program) en soms met een onterechte classificatie als malware (trojan...). Als Github malware zou scannen zouden die niet op de site staan. Niettemin vind ik het goed dat zulke tools erop mogen staan, Microsoft maakt er zo'n rommel van dat die nodig zijn om een installatie te redden. Github is vermoedelijk bang te community tegen het hoofd te stoten en een grote volksverhuizing op gang te brengen. Daar gaat dat de code base die ze gebruiken om hun AI te trainen.
29-02-2024, 20:10 door Anoniem
Door Anoniem: @Vandaag, 12:53 door Anoniem
@Vandaag, 12:53 door Anoniem

2x vragen naar de bekende weg en 1x slechte discussiemethode (iemand woorden in de mond leggen).

Microsoft heeft heel lang de eigen software redelijk goed weten te beschermen tegen malware. Maar diezelfde mate van bescherming ontbreekt op Github. Er wordt duidelijk niet gescand.
Noem je dat een argument ? Ik noem het vuige (anti) propaganda.

Microsoft eigen software wordt geschreven door Microsoft medewerkers - bekende identiteit, aangenomen na een meer of minder grondig onderzoek (cv, motivatie,historie) . Met een heel duidelijk eigenbelang van die personen (nl : carriere en dienstverband) om niet bewust iets fout te doen.
En een forse afdeling die ALLEEN MAAR bestaat om gehackte medewerkers account te voorkomen en detecteren.
Wat , gezien de arbeidsrelatie mogelijkheden heeft die niet bestaan voor 'ieders account van de hele wereld op github'.

En met heel directe sanctie mogelijkheden (berisping, ontslag, aangifte/vervolging) als die medewerkers WEL wat fout doen, zeker als dat bewust en kwaadwillend is.

En de software geschreven door die mensen vergelijk je met software geschreven en geshared door "jan en alleman op de wereld met een heel beperkt belang om zorgvuldig te zijn met software of het account."
Iedere puber op de hele wereld die wat code schrijft wordt gepushed om z'n "portfolio" op github te sharen en zo aan z'n software CV te bouwen.

En dat ga je dan de eigenaar van de 'share free for all site' verwijten , en insinueer je dat het verschil alleen 'ontbrekende malware scanning is' .
Man man man.

Soms word ik zo bedroefd van 'onze' community.

Ik ben niet eens een fan van Microsoft - maar het onmogelijke vragen en ze dan verwijten dat dat niet gaat doe ik niet.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.