Sari la continut
marți, 14 iulie 2026
TechInfos.ro

Laboratorul stirilor tech

Cyber

200 de repos GitHub folosite pentru atacuri malware: cum te protejezi

O rețea de 200 de depozite GitHub distribue malware prin module Go și PowerShell, vizând utilizatorii Windows.

TI 13 iulie 2026 4 min read
Pe scurt
  • O rețea de 200 de depozite GitHub distribue malware prin module Go și PowerShell, vizând utilizatorii Windows.
Continua analiza

O rețea extinsă de peste 200 de depozite GitHub este folosită pentru a distribui malware către utilizatorii Windows. Atacatorii exploatează un modul Go pentru a încărca cod PowerShell, care apoi preia un „resolver” din surse publice (dead drops) și execută programe malițioase. Descoperirea, semnalată de cercetătorii în securitate, arată cum platformele de dezvoltare pot fi transformate în vectori de atac sofisticați.

Cum funcționează schema infecțioasă

Atacul începe cu un modul scris în Go, care acționează ca un încărcător primar. Acesta descarcă și execută un script PowerShell. Scriptul contactează așa-numitele „dead drops” – conturi sau servicii publice unde agresorii postează periodic adrese și comenzi. De acolo, PowerShell obține un resolver care îi spune exact ce payload malițios să descarce și să ruleze pe mașina victimei.

Tehnica este cunoscută sub numele de „living off the land”, deoarece atacatorii se bazează pe instrumente legitime (PowerShell, Git) pentru a rămâne nedetectați. Cele 200 de depozite GitHub sunt actualizate frecvent, conținând fragmente de cod aparent inofensive, dar care, în combinație, construiesc întregul lanț de atac.

De ce este dificil de depistat

Depozitele individuale nu conțin malware direct; ele oferă doar componente ale unui puzzle. Cercetătorii au observat că multe dintre aceste repos au un număr mic de stele sau fork-uri, ceea ce le face greu de remarcat. În plus, autorii folosesc tehnici de ofuscare pentru a ascunde codul real, cum ar fi variabile cu nume aleatorii sau încărcarea din surse externe criptate.

Un aspect îngrijorător este că unele depozite sunt menținute de mai mulți „colaboratori”, sugerând o rețea organizată. Scopul final pare a fi instalarea de troieni, spyware sau ransomware, deși cercetarea este încă în desfășurare pentru a identifica toate variantele de malware livrate.

Ce măsuri de protecție poți lua

Pentru a te feri de astfel de atacuri, specialiștii recomandă:

  • Limitează execuția scripturilor PowerShell în medii de producție; activează politici de restricționare (Execution Policy).
  • Monitorizează conexiunile la domenii necunoscute și traficul HTTP/HTTPS suspect, mai ales din partea proceselor legitime.
  • Actualizează software-ul și folosește soluții de securitate care detectează comportamente anormale, nu doar semnături.

Ce înseamnă pentru tine

Pentru utilizatorul obișnuit, riscul vine din descărcarea de proiecte sau biblioteci GitHub fără verificare. Chiar și depozite cu nume credibile pot fi compromise. Dacă ești dezvoltator, fii atent la dependințele Go și la scripturile PowerShell incluse în proiecte terțe. Recomandarea principală: nu rula niciodată cod descărcat de pe GitHub fără să-l analizezi în prealabil, mai ales dacă provine dintr-un depozit obscur.

Surse

Ai ajuns la final
Tech Brief

Cele mai importante stiri tech, intr-un format scurt.

Primeste sinteza zilnica AI, cyber si gadgeturi direct in inbox.