Hackers verspreiden malware via URL’s in GitHub-reacties

Cybercriminelen verspreiden aan malware gekoppelde URL’s van vermoedelijke Microsoft-opslagplaatsen via GitHub-projectopmerkingen. De distributiemethode voor malware is zeer gevaarlijk en hardnekkig.

Volgens het onderzoek proberen cybercriminelen actief malware te verspreiden via URL’s die zijn geplaatst in de commentaarsecties van GitHub-projecten. Deze URL’s wekken de indruk dat het legitieme Microsoft-repository’s zijn, maar niets is minder waar. Bij nader onderzoek van de URL’s blijkt echter geen enkel verband met Microsoft met betrekking tot de bestanden in de broncode van het project.

McAfee waarschuwde onlangs dat een nieuwe variant van de Redline Stealer Trojan, LUA malware loader, wordt verspreid en zich voordoet als legitieme Microsoft-opslagplaatsen voor de ‘C++ Library Manager voor Windows, Linux en MacOS’, ook bekend als ‘vcpkg’ en de bibliotheek STL.

Verspreiding via commits

Het bleek dat de bestanden geen deel uitmaakten van ‘vcpkg’, maar eerder opmerkingen over commits of problemen in het betreffende project. GitHub-gebruikers kunnen een bestand, zoals bestanden of documenten, toevoegen aan de opmerkingensectie van een project, dat vervolgens wordt geüpload naar het GitHub CDN. Deze bestanden worden vervolgens met een unieke URL aan het betreffende project gekoppeld.

Deze specifieke URL’s leiden niet tot een bijdrage, maar tot malware. Bovendien blijft de bijbehorende URL altijd actief, ook na het verwijderen van de bijdrage. Dit maakt de aanwezigheid en het verspreidingsvermogen van de malware persistent.

Zeer gevaarlijke distributiemethode.

De manier waarop cybercriminelen deze malware proberen te verspreiden, stelt hen in staat uiterst zorgvuldig vervaardigde en vooral overtuigende URL’s te creëren. Bovendien maakt het feit dat deze malwaredistributiemethode op vrijwel elk openbaar GitHub-bericht kan worden gebruikt, het uiterst gevaarlijk.

Uit aanvullend onderzoek blijkt dat cybercriminelen deze methode van malwaredistributie via GitHub al enige tijd misbruiken. De eerste tekenen van verspreiding van malware, niet alleen de nu gevonden kwaadaardige code, maar ook andere varianten, dateren van begin maart van dit jaar.

GitHub-gebruikers kunnen zichzelf beschermen tegen deze vorm van malwareverspreiding, bijvoorbeeld door reacties op een GitHub-project uit te schakelen. Dit kan maar voor een half jaar, daarna moet alles weer losgekoppeld worden. Deze methode is ook niet ideaal omdat je hierdoor niet langer commentaar kunt geven op mogelijke fouten of suggesties kunt sturen.

GitHub heeft nu URL’s verwijderd die zijn gekoppeld aan Microsoft-repository’s van zijn platform. URL’s die linken naar andere malwarevarianten zijn nog steeds beschikbaar.

Lees ook: ‘Er zijn steeds meer geheimen gelekt in openbare GitHub-repository’s’