ИБ-специалисты портала DFIR.it провели расследование, в ходе которого выявили сеть GitHub-хранилищ, распространявших взломанные версии легитимных программ. Вредоносные варианты утилит, игр и других приложений устанавливали бэкдор, добавлявший их в ботнет для участия в онлайн-аукционах редких кроссовок. По результатам исследования администрация репозитория заблокировала все аккаунты, раздававшие взломанное ПО.
Внимание экспертов привлекло необычное поведение установщика кроссплатформенного браузера JXplorer. Аналитики заметили, что программа создает в списке автозагрузки задачу для установки и запуска PowerShell-скрипта с бесплатного хостинга, предоставляющего услуги динамического DNS. Изучив приложение, специалисты предположили, что имеют дело с тестовой версией зловреда, не выполняющей деструктивных действий на зараженном компьютере.
Тем не менее, ссылки и названия файлов, заключенные в коде утилиты, привели аналитиков к другим хранилищам, содержащим модифицированные копии легитимных программ. Проанализировав эти GitHub-аккаунты, профили их подписчиков и размещенные там файлы, эксперты выявили замкнутую сеть репозиториев, нацеленную на распространение вредоносного ПО.
В файловых архивах злоумышленников обнаружились более 300 взломанных игр, утилит и отдельных библиотек, каждая из которых позволяла доставлять на инфицированный компьютер полезную нагрузку. В репозиториях нашлись вредоносные варианты мультимедиа-редактора FFmpeg, компилятора MinGW и других приложений. Как отмечают исследователи, часть аккаунтов не распространяла зловреды, а поднимала рейтинг целевых хранилищ.
По мнению ИБ-специалистов, преступники устанавливали на зараженные компьютеры клиентскую часть Supreme NYC Blaze Bot — специализированного ботнета для участия в онлайн-аукционах по продаже лимитированных версий кроссовок.
Осенью прошлого года разработчики GitHub обновили сервис, проверяющий размещенные в репозитории программы на наличие уязвимостей. Служба GitHub Vulnerability Alert получила поддержку .NET и Java, а также научилась искать вшитые в код приложений логины и пароли. Этот шаг должен повысить безопасность легитимных проектов в хранилищах, но не защищает пользователей от размещенного там вредоносного ПО.
Источник: https://threatpost.ru/300-backdoored-apps-found-on-github/31465/