La firma de ciberseguretat Apiiro va detectar una campanya de confusió de repositoris maliciosos que va començar a mitjans de l’any passat, aquesta vegada a una escala molt més gran.  Aquesta amenaça ha impactat més de 100.000 repositoris de GitHub. En aquests atacs, els atacants copien repositoris populars, introdueixen programari maliciós i després els tornen a carregar a GitHub amb els mateixos noms. 

Com passen els atacs de confusió de repositoris?

De manera similar als atacs de confusió de dependència, els actors maliciosos aconsegueixin que el seu objectiu descarregui la seva versió maliciosa en lloc de la real. Però els atacs de confusió de dependència aprofiten la manera com funcionen els administradors de paquets, mentre que els atacs de confusió de repositoris simplement depenen del fet que els humans triïn per error la versió maliciosa en lloc de la real, a vegades també mitjançant tècniques d’enginyeria social. 

En aquest cas, per tal de maximitzar les possibilitats d’infecció, l’actor maliciós inunda GitHub amb repositoris maliciosos, amb aquestes passes:

1. Clona repositoris existents (per exemple: TwitterFollowBot, WhatsappBOT, discord-boost-tool, Twitch-Follow-Bot i un munt més).
2. Els infecta amb carregadors de programari maliciós.
3. Els puja de nou a GitHub amb noms idèntics. 
4. Bifurca automàticament cada un milers de vegades. 
5. Els promou de manera encoberta al web a través de fòrums, discòrdia, etc.

Els efectes de l’automatització a GitHub

GitHub elimina ràpidament la majoria dels repositoris bifurcats, tot allò que identifica l’automatització. Tanmateix, la detecció de l’automatització sembla que omet molts repositoris i aquells que es van carregar manualment sobreviuen. Atès que tota la cadena d’atacs sembla que està automatitzada en la seva majoria a gran escala, l’1 % que sobreviu encara representa milers de repositoris maliciosos. 

Si comptem els eliminats, el nombre de repositoris arriba a milions. En general, l’eliminació succeeix unes hores després de la càrrega, per la qual cosa documentar-la és tot un desafiament.

Com protegir-se contra les confusions de repositoris

En notificar-ho a GitHub, la majoria dels repositoris maliciosos es van eliminar però la campanya continua i els atacs que intenten injectar codi maliciós a la cadena de subministrament són cada vegada més freqüents. Hi ha solucions innumerables per detectar programari maliciós a nivell de sistema i de xarxa, però la cadena de subministrament continua essent una superfície d’atac massiva i lucrativa per als actors maliciosos.

A Apiiro han creat un sistema de detecció de codis maliciosos que monitora qualsevol base de codi connectada. Després es detecten atacs mitjançant l’ús d’una anàlisi de codi profund amb la utilització de múltiples tècniques avançades: anàlisi de codi basat en LLM, desconstrucció del codi en un gràfic de flux d’execució complet, un motor heurístic elaborat, descodificació dinàmica, desxifratge i desofuscació, i moltes més, per la qual cosa és bastant difícil enganyar-lo.