ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Исследователи безопасности из команды "dfir it" выявили на GitHub цепочку учётных записей, предлагающих подложные репозитории с библиотеками и сборками различных проектов, включающими вредоносный код для получения контроля за системой пользователя. Всего было выявлено 73 репозитория с вредоносным кодом и несколько сотен бинарных файлов в формате ELF, JAR и PE, содержащих бэкдоры. В настоящее время все связанные с выявленной вредоносной активностью учётные записи уже удалены с GitHub.

В ходе классификации вредоносных вставок был выделен 41 вариант бэкдоров, созданных на основе нескольких типовых реализаций для получения удалённого контроля за системой (например, применялись supremebot, elitesubot и blazebot). В большинстве случаев вредоносный код обеспечивал загрузку и выполнение скрипта с внешнего сайта, после чего размещал в системе компоненты для удалённого управления, выполнения внешних команд и формирования ботнетов.

Интересно, что список учётных записей с вредоносным кодом был определён путём анализа социальных связей у пользователя, в коде которого изначально был найден бэкдор. Оценив пользователей, отслеживавших изменения и выставлявших "звёздочки" на GitHub (списки Watch и Star) было выделено 89 типовых учётных записей, созданных примерно в одно время и распространявших код с бэкдорами. Некоторые учётные записи не содержали собственных репозиториев и использовались исключительно для поднятия рейтинга вредоносных репозиториев в результатах поиска на GitHub. Злоумышленники рассчитывали на то, что кто-то воспользуется предлагаемыми ими файлами вместо использования официальных сборок или самостоятельной сборки из исходных текстов.

Проблемные репозитории включали форки или бинарные сборки известных проектов, таких как FFmpeg, LAME, JXplorer и EasyModbus, изменённые с целью получения контроля за системами пользователей. Бэкдоры были сформированы для Linux, Windows и macOS. Например, в 9 репозиториях пользователя adunkins (Andrew Dunkins) было найдено 305 исполняемых файлов с бэкдорами, в том числе поставлявшиеся под видом инструментариев OpenWRT, Linaro и MinGW.