Advertentie
Duizenden besmette repositories en nepaccounts actief
Het Belgische cloud-softwarebedrijf Klarrio heeft een omvangrijk malware-netwerk blootgelegd op open source-platform GitHub. Uit eigen onderzoek, geleid door CTO Bruno De Bus, blijkt dat er sprake is van minstens 2.400 besmette repositories en zo’n 15.000 nepaccounts die deze malafide projecten actief promoten.
De malware werd verspreid via gekloonde versies van bestaande open source-projecten. Kwaadwillenden kopiëren een legitieme repository, voegen daarin geobfusceerde code toe die een kwaadaardige payload binnenhaalt, en plaatsen deze opnieuw op GitHub onder een andere gebruikersnaam. Dankzij automatisch gegenereerde accounts die deze projecten voorzien van positieve ratings, krijgen de besmette repositories soms zelfs een hogere waardering dan het origineel, wat gebruikers op het verkeerde been zet.
Geautomatiseerde manipulatie van GitHub-ecosysteem
Volgens De Bus worden de bestanden in de kloons voortdurend herschreven met behulp van AI-technieken, waardoor het lijkt alsof er sprake is van legitieme activiteit binnen de community. De besmette projecten trokken de aandacht doordat Klarrio zelf intensief gebruikmaakt van open source-componenten binnen zijn dataplatformen voor enterprise-klanten. Na een interne verscherping van het intakeproces voor open source-software, ontdekte het team van Klarrio een verdachte kloon van een klein Go-project. Verdere analyse leidde uiteindelijk tot de identificatie van het veel grotere netwerk.
De schadelijke code maakt gebruik van specifieke URL-patronen om de payload op te halen. Daarbij werd een vaste structuur gebruikt: https://<domein>/storage/<path>. Klarrio adviseert GitHub-gebruikers om domeinen zoals metalomni.space, kaiaflow.icu en sharegolem.com toe te voegen aan hun blokkeerlijsten of monitoringregels, aangezien deze als host dienden voor de malware.
GitHub en opensource community
Klarrio heeft de volledige lijst van verdachte accounts en repositories gedeeld met GitHub en met de beveiligingsafdeling van het Go-team. Ook is er een kopie van alle verzamelde data beschikbaar gesteld voor ter controle. GitHub wordt opgeroepen om actie te ondernemen en gebruikers te waarschuwen voor dit grootschalige misbruik van het platform.
De ontdekking onderstreept het belang van zorgvuldige validatie bij het gebruik van open source-projecten. Vooral ontwikkelaars die afhankelijk zijn van GitHub als bron voor softwarecomponenten, doen er goed aan waakzaam te zijn voor misleidende ratings en schijnbare community-activiteit.