Ruim honderd GitHub-repositories blijken backdoors te bevatten

Hiervoor waarschuwt Sophos. Het onderzoek begon met een vraag van een klant over de bescherming tegen 'Sakura RAT', een open-source malwareproject dat op GitHub werd gehost. Bij nader onderzoek bleek dat de repository niet alleen de Sakura RAT bevatte, maar ook een achterdeur die gericht was op mensen die de RAT compileerden. Deze achterdeur installeerde infostealers en andere kwaadaardige software.

141 repositories

In totaal werden 141 repositories geïdentificeerd, waarvan 133 achterdeuren bevatten. Deze achterdeuren waren voornamelijk van vier types: PreBuild, Python, screensaver en JavaScript. De repositories deden zich voor als verschillende soorten projecten, waaronder malwaretools (24%), gaming cheats (58%), bot-gerelateerde projecten (7%), cryptocurrency tools (5%) en diverse andere tools (6%).

De distributiemethoden van deze campagne zijn nog niet volledig duidelijk, maar er zijn aanwijzingen dat Discord-servers en YouTube-kanalen worden gebruikt om links naar de kwaadaardige repositories te verspreiden. Daarnaast hebben media-aandacht en sociale media onbedoeld bijgedragen aan de verspreiding door de repositories onder de aandacht te brengen.

De achterdeuren in de repositories zijn complex en omvatten meerdere stadia van infectie. Bijvoorbeeld, de PreBuild-achterdeur bevat een reeks batchcommando's die een VBS-script aanmaken en uitvoeren. Dit script downloadt vervolgens een PowerShell-script dat uiteindelijk een 7z-archief downloadt en uitpakt, waardoor meerdere infostealers en RATs (Remote Access Trojans) worden geïnstalleerd.

Vergelijkbare campagnes sinds 2022 actief

Eerder onderzoek heeft aangetoond dat soortgelijke campagnes al sinds 2022 plaatsvinden. Deze campagnes maken gebruik van vergelijkbare technieken, zoals het gebruik van achterdeuren in open-source projecten en het verspreiden van malware via GitHub-repositories. Het is mogelijk dat de huidige campagne verband houdt met eerdere campagnes, zoals de 'Stargazers Ghost Network' die in 2024 werd gerapporteerd.

Deze campagne benadrukt de risico's van het downloaden en uitvoeren van onverifieerde code van het internet. Het onderzoek toont aan dat zelfs open-source projecten die legitiem lijken, kwaadaardige code kunnen bevatten. Het is daarom van cruciaal belang om voorzichtig te zijn bij het downloaden en uitvoeren van code, vooral als deze afkomstig is van onbekende bronnen.

Om infectie te voorkomen, wordt aanbevolen om:

• Voorzichtig te zijn met het downloaden en uitvoeren van tools of code, vooral als deze betrekking hebben op malware en gaming cheats.
• Open-source code te inspecteren op verdachte elementen voordat deze wordt gedownload.
• Online te zoeken naar rapporten over verdachte activiteiten met betrekking tot repositories en bestanden.
• Code in een geïsoleerde omgeving uit te voeren voordat deze op het hoofd systeem wordt geïnstalleerd.
• Alert te zijn op tekenen van infectie, zoals onverwachte uitgaande verbindingen, vreemde bestanden in gebruikersmappen, onverwachte wijzigingen in het register en de taakplanner, en het uitschakelen van beveiligingsproducten.