Centomila repository infetti mettono sotto scacco GitHub, il nemico è una campagna di malicious repo confusion

Raoul Scarazzini
2

Spento il giubilo per la presentazione di GitHub Copilot Enteprise – per modo di dire, visto che moltissimi utenti si stanno lamentando dei tantissimi permessi richiesti dall’applicazione, vedi questo articolo di Dev Class – in casa GitHub c’è un problema decisamente grosso con i repository che è stato descritto da Apiiro, un’azienda che si occupa di sicurezza.

L’attacco è ciò che viene definito un malicious repo confusion campaign, ossia una campagna di diffusione di repository finti. Come segnala Apiiro il problema riguarda qualcosa come centomila repository GitHub, un’enormità.

La modalità di attacco è decisamente semplice:

  1. Il repository viene clonato (esempi in questo senso sono TwitterFollowBot, WhatsappBOT, discord-boost-tool, Twitch-Follow-Bot e centinaia di altri).
  2. Il repository viene infettato con dei loader malware (astutamente non il malware in sé, ma del codice che lo carica).
  3. Il repository viene caricato su GitHub con lo stesso identico nome, ma ovviamente in un’organizzazione diversa.
  4. Il repository viene forkato qualche migliaia di volte e promosso nei vari canali per abilitarne l’immagine.

L’articolo dimostra anche cosa avviene effettivamente quando il codice malevolo viene eseguito, mediante un’illuminante gif animata:

Anche se i fork vengono rimossi abbastanza velocemente (poiché frutto di automazione e quindi facilmente identificabili) ma da quel che viene raccontato circa l’un percento sfugge e continua a far danni. Per la cronaca, contando anche i fork rimossi siamo nell’ordine del milione.

In un’altra gif animata viene data la misura effettiva dei numeri:

E sì, sono impressionanti.

L’attacco è in giro dallo scorso maggio, ma nell’ultimo periodo ha subito uno spike decisamente notevole, come mostra questo grafico, che spiega anche da dove si è partiti

Ricordate quando abbiamo parlato di PyPI e dei TRE pacchetti infetti che conteneva? Se ci eravamo preoccupati allora, figuriamoci dopo aver letto tutto questo.

Trattandosi in ogni caso di fork e di repository infetti che non risiedono nelle organizzazioni principali di GitHub, basterà avere l’accortezza di far riferimento solo alle sorgenti ufficiali.

Cioè, praticamente è impossibile finire infetti, giusto?

Raoul Scarazzini

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

, , ,

2 risposte a “Centomila repository infetti mettono sotto scacco GitHub, il nemico è una campagna di malicious repo confusion”

  1. Avatar Capitano Nemo
    Capitano Nemo

    Ergo evitare di compilare roba random, i bei tempi sono finiti.

  2. Avatar Raoul Scarazzini
    Raoul Scarazzini

    In questo senso i bei tempi non ci sono mai stati!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

GitHub
Vai alla sezione Articoli
Vai ai Saturday’s Talks

Categories

Articoli (68) Il mmullato (3) Notizie (2909) Saturday's Talks (46)

Tag cloud

ai (43) Android (32) AWS (30) Bug (67) Canonical (81) CentOS (41) Cloud (59) container (48) Controversia (34) Debian (88) desktop (30) docker (61) Fedora (52) Firefox (36) GitHub (67) Google (85) IBM (49) Intel (54) KDE (35) Kernel (219) Kubernetes (89) Linux (673) LinuxFoundation (31) LTS (32) Malware (54) Microsoft (179) MicrosoftLovesLinux (37) Mozilla (37) open-source (323) Openstack (56) Oracle (34) Patch (30) RaspberryPI (30) Red Hat (154) Release (46) RHEL (37) SaturdaysTalks (45) Sicurezza (90) Software (36) SUSE (34) systemd (73) Torvalds (79) Ubuntu (167) Vulnerabilità (55) Windows (80)