Тысячи репозиториев GitHub наполнены вредоносным ПО

Эксперты обнаружили, что более чем в одном из каждых десяти репозиториев GitHub, которые делятся доказательствами концепции эксплойтов, может содержаться та или иная форма вредоносного ПО или вредоносного контента. Это подвергает разработчиков программного обеспечения и исследователей кибербезопасности большому риску.

Тысячи репозиториев GitHub наполнены вредоносным ПО. Фото: СС0

GitHub используется, среди прочего, для обмена эксплойтами для проверки концепции (PoC) для различных уязвимостей. Это помогает исследователям и разработчикам проверять существующие исправления и удостовериться, что их продукты и конечные точки защищены от опасных недостатков.

Отчет исследователей из Лейденского института передовых компьютерных наук, анализирующих десятки тысяч таких репозиториев, показал, что многие из них распространяли поддельные PoC, которые вместо эксплойтов содержали вредоносное ПО.

В ходе эксперимента исследователи проанализировали примерно 47 300 репозиториев, утверждающих, что они являются PoC, на наличие уязвимости, обнаруженной в период с 2017 по 2021 год.

Специалисты сопоставили IP-адреса PoC-издателей с общедоступными черными списками, VT и AbuseIPDB, запустили проверки VirusTotal на предоставленные исполняемые файлы и их хэши и декодировали запутанные файлы перед запуском двоичных файлов и проверок IP-адресов.

Они обнаружили, что в общей сложности 4893 репозитория так или иначе являются вредоносными. Из 150 734 уникальных IP-адресов, которые были извлечены, 2864 были обнаружены в черных списках, 1522 ранее были отмечены VirusTotal, а 1069 были обнаружены в базе данных AbuseIPDB. Анализируя бинарные файлы 6160 исполняемых файлов, исследователи обнаружили 2164 вредоносных образца, размещенных в 1398 репозиториях.

В целом вероятность обнаружения вредоносного ПО вместо настоящего PoC составляет около 10,3%, заключили исследователи. Жертвы могут быть заражены множеством зловредов, от троянов удаленного доступа до маяков Cobalt Strike.

Получив результаты исследования, администрация GitHub начала удалять вредоносный контент со своей платформы.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме