Ditemukan 10.000 Repositori GitHub Distribusikan Trojan
Judul asli: I found 10k GitHub repositories distributing Trojan malware
Mengapa Ini Penting
Mengungkap kampanye distribusi malware terkoordinasi di platform terbesar dunia menunjukkan celah keamanan GitHub dan respons moderasi.
Seorang peneliti menemukan kampanye distribusi malware skala besar di GitHub melibatkan 10.000 repositori berbeda yang membagikan Trojan. Setiap repositori menghapus dan mendorong ulang komit yang sama setiap beberapa jam, dengan tautan arsip di berkas readme. GitHub membutuhkan waktu dua bulan merespons laporan keamanan.
Peneliti menemukan pola mencurigakan setelah melihat repositori duplikat dengan nama dan deskripsi identik dengan proyek miliknya di GitHub. Repositori palsu tersebut menampilkan semua komit asli tetapi menambahkan tautan ke arsip ZIP di berkas readme setiap beberapa jam. Setelah melacak dua repositori mencurigakan, ia memperhatikan pola: setiap beberapa jam komit sebelumnya dihapus dan komit identik didorong kembali dengan hanya perubahan pada tautan arsip. Permintaan dukungan GitHub tidak mendapat respons selama dua minggu. Peneliti mengembangkan skrip untuk mengidentifikasi repositori serupa berdasarkan pola: komit baru setiap beberapa jam, hanya berkas readme yang dimodifikasi, tautan arsip dalam readme, komit disalin dari repositori lain, repositori baru (bukan fork), dan kontributor serta nama berbeda. Analisis mengungkapkan ribuan repositori serupa dengan pola identik. Arsip ZIP berisi file loader executable dan DLL, tetapi melewati pemindaian VirusTotal jika diperiksa sebagai individual meskipun terdeteksi Trojan dalam file ZIP lengkap.