安全研究人员公开了恶意的GitHub存储库,这些存储库托管着300多个后门应用程序
dfir.it的一位未透露姓名的安全研究员最近透露,这些账户托管着“300多个后门的Windows、Mac和Linux应用程序和软件库”。
研究人员在他的博客“The Supreme Backdoor Factory”中解释了他是如何在GitHub repo中偶然发现这些恶意代码和其他各种代码的。当研究人员第一次发现JXplorer LDAP浏览器的恶意版本时,调查就开始了。
研究人员在他的博客文章中指出,“我没想到一个非常流行的LDAP浏览器的安装程序会创建一个计划任务,以便从免费动态DNS提供商托管的子域下载和执行PowerShell代码。”
据ZDNet称,“所有托管这些文件的GitHub账户——合法应用程序的后门版本——现在都被删除了。”
这些恶意文件包含代码,可以在受感染的系统上持续引导,并进一步下载其他恶意代码。研究人员还提到,恶意软件下载了一款名为Supreme NYC Blaze Bot (supremebo .exe)的基于Java的恶意软件。
“根据研究人员的说法,这似乎是一个”运动鞋机器人“,这是一种恶意软件,可以将受感染的系统添加到僵尸网络,后来参与限量版运动鞋的在线拍卖,”ZDNet报道。
研究人员透露,一些恶意条目是通过一个名为Andrew Dunkins的帐户制作的,其中包括一组九个存储库,每个存储库都托管Linux交叉编译工具。每个存储库都由几个已知的可疑帐户监视或标记。
该报告提到,未托管后门应用程序的帐户被用于 ‘star’ 或‘watch’恶意存储库,并有助于提高其在GitHub搜索结果中的受欢迎程度。
要详细了解这些后台应用程序,请阅读完整的(the Supreme Backdoor Factory)报告。