Я обнаружил крупномасштабное распространение вирусов в GitHub

[AliceKwangweith]

Да, я тоже заметил с этим луаджитом 3-4 месяца назад репозиторий SpotiFLAC, для скачивания музыки из Spotify, отправил запрос с жалобой - удалили через 3 дня, а тут аж умный человек скрипт написал и нашел аж 10000 таких репозиториев, красава)).

По поведению трояна похоже на ботнет, а вот куда он направлен - предстоит узнать

[aPiks]

Если речь о spotbye, то это старый репозиторий и прога рабочая. А клонов я поиском не нашел.

[Bardakan]

не знаю. Я на днях репортил такой репозиторий - удалили в течение пары часов.

Правда там челы додумались в репозиторий с исходниками для ios засунуть вредонос под винду.

А еще например, Brave наотрез отказался выкачивать файл - пришлось искать обходные пути

[nodevner]

Им даже не важно, о чём сам репозиторий, главное создать больше копий. Я думаю, что с такой скоростью создания копий это делает AI: загружает архив, пишет описание проекта (зачем?) и вставляет ссылку на архив в Readme.md, стиль везде один.

[geher]

Правда там челы додумались в репозиторий с исходниками для ios засунуть вредонос под винду.

Это абсолютно нормально. Я помню вирус (еще в DOS), который заражал текстовые файлы (он их считал COM файлами, он вообще все считал такими файлами) и не брезговал повторным заражением. Просто влом проверять было.

[greabock]

Хабравчане, а есть идеи как можно что-то еще нарыть на этих ударников опенсорсного труда? Может по трояну кто-то что-то поймет? ))

[Dzen_Python]

Да, в последнее время то AUR забрасывают такими вот волнами с троянами, про NPM вообще молчу

[matveitkachev]

Вот это конечно они масштабную схему провернули

[nodevner]

Скриншот с VirusTotal

Я загрузил несколько таких архивов с вирусом на VirusTotal. В каждом архиве в разделе Network Communication вирус стучится на 3 ресурса: GET на сайт по получению информации об айпи, POST на https://polygon.drpc.org/ и POST на предполагаемый сервер создателя вируса. Могу только предположить, что суть схемы в краже криптовалюты.

[danila-kondr2004]

Есть также репозитории на Github, где вирус размещён не по ссылке в README.md, а в релизном дистрибутиве. Например, клоны Flowseal/zapret-discord-youtube, которые создаются как будто под копирку, и во всех таких репозиториях в релизах есть файл DiscordFix.exe, который нужно обязательно запустить. Может быть, сейчас именно такой способ неактуален, распространители троянов наверняка поменяли тактику действия, но такое имело место, и я лично обращался в поддержку Github с требованием заблокировать один из таких репозиториев.

Было бы интересно поискать такие вот репозитории с вирусами в релизах.

[Rikimortuy]

В релизах прятать даже логичнее. Юзеры привыкли качать бинарники именно со вкладки релизов, это вызывает меньше подозрений

[Granulex]

Техника обновления вредоносного коммита каждые несколько часов – не случайность: это сброс таймера для автоматических фильтров, которые ловят недавно изменённые репозитории. Параллельно жертва числится контрибьютором в копии своего же проекта – случайный посетитель видит знакомое имя и снижает бдительность. Два механизма доверия, задействованных одновременно.

[Rikimortuy]

Гитхабу давно пора внедрить хэширование бинарников по ссылкам в ридми. Если линка ведет на внешку с малварью, надо сразу давать шадоубан репе

[orchidfiles]

Они размещают zip архив в этом же репозитории. Это уже не внешняя ссылка. Возможно это помогает обходить алгоритмы гитхаба.

[Psychosynthesis]

И они добавляют эти репозитории в популярные теги гитхаба

А что конкретно значит вот это предложение?

[orchidfiles]

В гитхабе есть теги. Вы можете добавить до 20 тегов в репозиторий. Тогда он будет показываться в списке репозиториев по этому тегу.

[CoolCmd]

В гитхабе есть теги.

а разве они не topics называются?

[orchidfiles]

Да, я ошибся. Они называются topics.

[Sanctuary_s]

Я репортил еще неделю назад https://github.com/CreekMonitor/Win11-Deployment-Optimization-Tool, но так и не снесли. :(

[KEugene]

Я всегда думал, что пользователь Гитхаба означает человека, который не станет запускать на компьютере стремный exe файл. Разве что в качестве эксперимента в песочнице.

Кстати, разработчики ориентируются только на Windows пользователей. Какая дискриминация.

[Wesha]

Я всегда думал, что пользователь Гитхаба означает человека, который не станет запускать на компьютере стремный exe файл.

Они уже здесь!

[4ae4eK]

Кстати, разработчики ориентируются только на Windows пользователей. Какая дискриминация.

На самом деле всё просто. Windows - самая популярная ОС в пользовательском сегменте. А делать под другие системы даже ради далее цифра взята с потолка 10-12% не особо имеет смысла

[Rikimortuy]

Гитхаб давно перестал быть платформой только для программистов. Сейчас туда ходят за модами для игр, кряками и всякими фиксами для ютуба

[dee3mon]

Там сейчас кучу всего стороннего удобно хранить и распространять. Например, у меня там есть репо с библиотекой компонентов для Altium-а и с шаблонами для него, а также с учебниками в pdf-ах.

[JBFW]

Справедивости ради - очень распространенная схема установки чего-либо в Линуксе - curl URL | bash, то есть вы даже не знаете что именно скачали и откуда на самом деле, приходит некий скрипт, который что-то делает.
Еще и права рута попросит (и получит).

Конечно, есть параноики, которые сначала скачают, потом почитают, и только потом запустят (или пошагово выполнят вручную).
Но не уверен что нас много...

[Rikimortuy]

Микрософт покупает гитхаб за миллиарды, прикручивает туда нейросети, но не может написать крон для поиска архивов с троянами. Технологии которые мы заслужили

[YuriyX]

Вот это дела. 10к репозиториев с троянами, схема работает годами, а GitHub реагирует только на ручные репорты. Это systemic failure платформы. У них есть ресурсы проанализировать 500 млн репозиториев, но нет желания. Вопрос: это халатность или осознанная политика невмешательства? Потому что если второе — то Microsoft фактически покрывает распространение malware через свою инфраструктуру.

[nay77]

Может просто неофициальный полигон для отработки технологии массового заражения пользователей.

[Remigrant]

то Microsoft фактически покрывает распространение malware через свою инфраструктуру.

А может быть, он делает это специально и целенаправленно?.. Да не, не может же быть!

OH, SHI...!!!

[pureooplover]

Я тоже так накрыл два аккаунта когда увидел что мой проект на гитхабе скопировали и добавили некий zip-файл "Software-2.1-beta" и там в этом файле был обфусцированный код на Lua.

UPD: я эти аккаунты заметил в начале этого года.

[LimTroev]

Еще были прецеденты, например скачиваешь проект на Microsoft Visual Studio, собираешь и подхватываешь малварь при сборке. Все дело в том, что в PreBuid Step или PostBuild Step была строчка запуска вируса. Еще гитхаб вирусописатели используют ка промежуточное звено для полезной нагрузки и обновлений своих троянов, ботов, стиллеров и т.д. а так же размещают там зашифрованные адреса командных центров для них и многое другое.

[Sap_ru]

Это ещё что... Вангую появление заражённых клонов репозиториев, нацеленных на ИИ. Вот там есть поле для деятельности. Вайбописатели-то не проверяют, что там ИИ нафигачла, а ИИ ннынче модно в интренет пускать и никаких защит у ИИ нет и быть толком не может.
Если ИИ ищет по ключемым словам, находит репу с трояном, то там можно такого интересного в интрукциях написать - ух!

[isden]

Так уже "непонятно что" распространяется и так, легко и просто. Недавно скинули архив с комментом "Загрузите архив в чатбота, рекомендуется ChatGPT Plus или выше". А там внутри... Гигантские скиллы/промпты, код на питоне, куча инструкций. Которые конечно же никто не вычитывал и не проверял (и я это тоже делать не буду).

[trig-ger]

Firefox при скачивании на один из двух zip файлов отреагировал, что это вирус. Защитник в Windows 10 6-летней давности (не обновлялась даже) в обоих zip сразу определяет вирус. Так что подхватить вирус, даже скачав и распаковав подобный zip, чуть сложнее, чем кажется.

[dintsovaviiki]

Даже VirusTotal тут не показатель, потому что он не всегда корректно ловит поведение архивов внутри цепочки запуска