- O rețea de 200 de depozite GitHub distribue malware prin module Go și PowerShell, vizând utilizatorii Windows.
O rețea extinsă de peste 200 de depozite GitHub este folosită pentru a distribui malware către utilizatorii Windows. Atacatorii exploatează un modul Go pentru a încărca cod PowerShell, care apoi preia un „resolver” din surse publice (dead drops) și execută programe malițioase. Descoperirea, semnalată de cercetătorii în securitate, arată cum platformele de dezvoltare pot fi transformate în vectori de atac sofisticați.
Cum funcționează schema infecțioasă
Atacul începe cu un modul scris în Go, care acționează ca un încărcător primar. Acesta descarcă și execută un script PowerShell. Scriptul contactează așa-numitele „dead drops” – conturi sau servicii publice unde agresorii postează periodic adrese și comenzi. De acolo, PowerShell obține un resolver care îi spune exact ce payload malițios să descarce și să ruleze pe mașina victimei.
Tehnica este cunoscută sub numele de „living off the land”, deoarece atacatorii se bazează pe instrumente legitime (PowerShell, Git) pentru a rămâne nedetectați. Cele 200 de depozite GitHub sunt actualizate frecvent, conținând fragmente de cod aparent inofensive, dar care, în combinație, construiesc întregul lanț de atac.
De ce este dificil de depistat
Depozitele individuale nu conțin malware direct; ele oferă doar componente ale unui puzzle. Cercetătorii au observat că multe dintre aceste repos au un număr mic de stele sau fork-uri, ceea ce le face greu de remarcat. În plus, autorii folosesc tehnici de ofuscare pentru a ascunde codul real, cum ar fi variabile cu nume aleatorii sau încărcarea din surse externe criptate.
Un aspect îngrijorător este că unele depozite sunt menținute de mai mulți „colaboratori”, sugerând o rețea organizată. Scopul final pare a fi instalarea de troieni, spyware sau ransomware, deși cercetarea este încă în desfășurare pentru a identifica toate variantele de malware livrate.
Ce măsuri de protecție poți lua
Pentru a te feri de astfel de atacuri, specialiștii recomandă:
- Limitează execuția scripturilor PowerShell în medii de producție; activează politici de restricționare (Execution Policy).
- Monitorizează conexiunile la domenii necunoscute și traficul HTTP/HTTPS suspect, mai ales din partea proceselor legitime.
- Actualizează software-ul și folosește soluții de securitate care detectează comportamente anormale, nu doar semnături.
Ce înseamnă pentru tine
Pentru utilizatorul obișnuit, riscul vine din descărcarea de proiecte sau biblioteci GitHub fără verificare. Chiar și depozite cu nume credibile pot fi compromise. Dacă ești dezvoltator, fii atent la dependințele Go și la scripturile PowerShell incluse în proiecte terțe. Recomandarea principală: nu rula niciodată cod descărcat de pe GitHub fără să-l analizezi în prealabil, mai ales dacă provine dintr-un depozit obscur.