89 аккаунтов на GitHub распространяли сотни приложений с бэкдорами

Специалисты DFIR.it обнаружили на портале GitHub сеть учетных записей, распространявших вредоносные версии официальных библиотек и приложений для Windows, Mac и Linux. Вредоносные приложения содержали код, предназначенный для сохранения присутствия на зараженных системах и последующей загрузки на них вредоносного ПО Supreme NYC Blaze Bot, добавлявшего зараженные устройства в ботнет.

Эксперты начали расследование после того, как обнаружили вредоносную версию браузера Jxplorer. В общей сложности они обнаружили 89 учетных записей, «продвигавших» 79 репозиториев, содержащих свыше 300 приложений с бэкдорами, в том числе вредоносные версии компиляторов MinGW и GCC, библиотек Ffmpeg, EasyModbus и различных игр на Java. В частности, один из аккаунтов, зарегистрированный на имя Эндрю Данкинса (Andrew Dunkins), включал 305 вредоносных ELF-файлов, еще 73 приложения содержались в остальных 88 учетных записях .

Как отмечается, ряд «чистых» учетных записей использовался для повышения позиций вредоносных репозиториев в результатах поиска на GitHub. В настоящее время все вредоносные аккаунты удалены с GitHub.