Do not speak Portuguese? Translate this site with Google or Bing Translator

Repositórios do GitHub foram bifurcados para servir malware

Segundo o desenvolvedor de software Stephen Lacy, milhares de repositórios do GitHub foram bifurcados para servir malware.

Sim. Um engenheiro de software descobriu que milhares de repositórios do GitHub foram bifurcados (copiados) com seus clones alterados para incluir malware.

Repositórios do GitHub foram bifurcados para servir malware

Embora a clonagem de repositórios de código aberto seja uma prática de desenvolvimento comum e até mesmo incentivada entre os desenvolvedores, esse caso envolve os agentes de ameaças criando cópias de projetos legítimos, mas os contaminando com código malicioso para atingir desenvolvedores desavisados ​​com seus clones maliciosos.

O GitHub eliminou a maioria dos repositórios maliciosos após receber o relatório do engenheiro.

Agora, o desenvolvedor de software Stephen Lacy deixou todos perplexos quando alegou ter descoberto um “ataque de malware generalizado” no GitHub afetando cerca de 35.000 repositórios de software.

Ao contrário do que o tweet original parece sugerir, no entanto, “35.000 projetos” no GitHub não foram afetados ou comprometidos de forma alguma.

Em vez disso, os milhares de projetos de backdoor são cópias (forks ou clones) de projetos legítimos supostamente feitos por agentes de ameaças para enviar malware.

Projetos oficiais como crypto, golang, python, js, bash, docker, k8s, permanecem inalterados. Mas, isso não quer dizer que a descoberta não seja importante, conforme explicado nas seções a seguir.

Repositórios do GitHub foram bifurcados para servir malware
Repositórios do GitHub foram bifurcados para servir malware

O engenheiro de software Stephen Lacy divulgou pela primeira vez a descoberta (Twitter)
Ao revisar um projeto de código aberto, Lacy “descobriu uma pesquisa no Google”, o engenheiro notou o seguinte URL no código que ele compartilhou no Twitter:
hxxp://ovz1.j19544519.pr46m.vps.myjino[.]ru

O site BleepingComputer, como muitos, observou que, ao pesquisar no GitHub por esse URL, havia mais de 35.000 resultados de pesquisa mostrando arquivos contendo o URL malicioso. Portanto, a figura representa o número de arquivos suspeitos em vez de repositórios infectados:

Repositórios do GitHub foram bifurcados para servir malware
Repositórios do GitHub foram bifurcados para servir malware – Os resultados da pesquisa do GitHub para URL malicioso revelam mais de 35.000 arquivos (BleepingComputer)

Descobrimos ainda, dos 35.788 resultados de código, mais de 13.000 resultados de pesquisa eram de um único repositório chamado ‘redhat-operator-ecosystem’.

Este repositório, visto pelo site BleepingComputer, parece ter sido removido do GitHub e mostra um erro 404 (Not Found).

Desde então, o engenheiro emitiu correções e esclarecimentos [1, 2] ao seu tweet original.

O desenvolvedor James Tucker apontou que os repositórios clonados contendo a URL maliciosa não apenas exfiltravam as variáveis ​​de ambiente de um usuário, mas também continham um backdoor de uma linha.

Repositórios do GitHub foram bifurcados para servir malware
Repositórios do GitHub foram bifurcados para servir malware – Repositórios clonados alterados com malware contêm backdoor (BleepingComputer)

A exfiltração de variáveis ​​de ambiente por si só pode fornecer aos agentes de ameaças segredos vitais, como suas chaves de API, tokens, credenciais da Amazon AWS e chaves de criptografia, quando aplicável.

Mas, a instrução de linha única (linha 241 acima) permite que atacantes remotos executem código arbitrário em sistemas de todos aqueles que instalam e executam esses clones maliciosos.

No que diz respeito ao cronograma dessa atividade, observamos resultados divergentes.

A grande maioria dos repositórios bifurcados foi alterada com o código malicioso em algum momento do último mês – com resultados variando de seis a treze dias a vinte dias atrás. No entanto, observamos alguns repositórios com commits maliciosos datados de 2015.

Repositórios do GitHub foram bifurcados para servir malware
Repositórios do GitHub foram bifurcados para servir malware – Confirmação maliciosa feita 13 dias atrás em um dos clones (BleepingComputer)

Os commits mais recentes contendo a URL maliciosa feitos no GitHub hoje são principalmente de defensores, incluindo o analista de inteligência de ameaças Florian Roth, que forneceu regras Sigma para detectar o código malicioso em seu ambiente.

Ironicamente, alguns usuários do GitHub começaram a relatar erroneamente o repositório GitHub da Sigma, mantido por Roth, como malicioso ao ver a presença de strings maliciosas (para uso dos defensores) dentro das regras da Sigma.

O GitHub removeu os clones maliciosos de sua plataforma há algumas horas, BleepingComputer pode observar.

Como prática recomendada, lembre-se de consumir software dos repositórios oficiais do projeto e fique atento a possíveis erros de digitação ou bifurcações/clones de repositório que podem parecer idênticos ao projeto original, mas ocultam malware.

Isso pode se tornar mais difícil de detectar, pois os repositórios clonados podem continuar a reter commits de código com nomes de usuário e endereços de e-mail dos autores originais, dando uma impressão enganosa de que commits ainda mais recentes foram feitos pelos autores do projeto original.

Os commits de código-fonte aberto assinados com chaves GPG de autores de projetos autênticos são uma maneira de verificar a autenticidade do código.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.