Duizenden GitHub repositories werden gekloond en geïnfecteerd met malware. Software engineer Stephen Lacy ontdekte de infecties op woensdag 3 augustus.
Het klonen van open-source repositories is gebruikelijk onder developers die met GitHub werken. In dit geval maakten cybercriminelen klonen van legitieme projecten. De klonen werden met malware geïnfecteerd om nietsvermoedende developers aan te vallen.
Software engineer Stephen Lacy informeerde GitHub over het probleem, waarna GitHub de repositories verwijderde. Lacy beschreef het incident in een tweet en verbijsterde gebruikers door te beweren dat de “wijdverspreide malware-aanval” ruim 35.000 GitHub-projecten raakte.
Ondanks de schrik schrik bleek het bericht over “35.000 besmette projecten” niet waar. In werkelijkheid plaatsten cybercriminelen backdoors in duizenden kopieën (forks en clones) van projecten. Het idee is dat developers de kopieën verwerken in een applicatie, waarna de cybercriminelen toegang hebben. Grote projecten als k8s, python, js, bash, golang, crypto en docker werden niet geraakt.
Vals alarm
De tweet van Lacy bevatte een kwaadaardige URL die in een van de besmette kopieën werd gevonden. Website BleepingComputer merkt op dat de kwaadaardige URL meer dan 35.000 bestanden oplevert in de zoekfunctie van GitHub. Er is geen sprake van 35.000 geïnfecteerde repositories, maar van 35.000 verdachte bestanden.
BleepingComputer ontdekte dat 13.000 van de 35.000 zoekresultaten afkomstig zijn van een enkele repository genaamd ‘redhat-operator-ecosystem’. De repository is inmiddels van GitHub verwijderd. De pagina toont een 404-foutmelding. Lacy heeft zijn tweet in de tussentijd gecorrigeerd.
12 uur geleden
