Более 10 000 GitHub-репозиториев оказались прикрытием для троянов

Исследователь обнаружил масштабную кампанию, в рамках которой тысячи GitHub-репозиториев могут использоваться для распространения вредоносного ПО. 

По его данным, речь идет более чем о 10 000 проектов, которые внешне выглядят как обычные репозитории, но фактически ведут пользователей к загрузке архивов с троянами.

Как работает схема распространения

Автор исследования утверждает, что такие репозитории регулярно обновляются — часто с интервалом в несколько часов. При этом в большинстве случаев изменяется только файл README.md, в который добавляется ссылка на ZIP-архив.

Именно этот архив, по данным проверки через VirusTotal, может содержать вредоносные компоненты, включая загрузчики и исполняемые файлы, маскирующиеся под обычные утилиты.

Массовое клонирование и маскировка доверия

Отдельная особенность кампании — копирование истории коммитов и участников из других проектов. Это создает иллюзию «живого» и давно существующего репозитория, повышая доверие со стороны пользователей и поисковых систем.

Кроме того, злоумышленники используют разные имена, аккаунты и структуру проектов, что затрудняет автоматическое выявление таких репозиториев.

Сложности обнаружения

Исследователь отмечает, что классические механизмы анализа GitHub и ограничений API не могут гарантировать быстрое обнаружение подобных сетей. Из-за особенностей обновлений и поведения репозиториев, фильтры могут пропускать значительную часть подобных проектов.

Также подчеркивается, что такие схемы уже фиксировались ранее. В меньших масштабах, но с похожей логикой распространения вредоносного ПО через открытые репозитории.