Hơn 10.000 repository GitHub bị cài trojan phát tán mã độc

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
141
1.996 bài viết
Hơn 10.000 repository GitHub bị cài trojan phát tán mã độc
WhiteHat Team
Hàng nghìn repository trên GitHub đang bị biến thành "bẫy" phát tán mã độc mà nhiều lập trình viên khó nhận ra. Cuộc điều tra của chuyên gia bảo mật Orchid đã phát hiện hơn 10.000 kho mã nguồn có dấu hiệu bị lợi dụng để phân phối trojan thông qua các liên kết tải xuống được cài cắm tinh vi trong README. Quy mô của chiến dịch cho thấy tin tặc đang ngày càng tận dụng uy tín của các nền tảng mã nguồn mở để tiếp cận nạn nhân.
github mh.png

Manh mối đầu tiên xuất hiện khi Orchid bất ngờ phát hiện một bản sao của chính repository do mình phát triển xuất hiện trên kết quả tìm kiếm. Thoạt nhìn, kho mã này gần như giống hệt bản gốc, từ tên dự án, mô tả cho đến lịch sử commit và danh sách cộng tác viên. Tuy nhiên, khi kiểm tra kỹ hơn, Orchid nhận thấy một commit mới đã được thêm vào nhằm chỉnh sửa tệp README và chèn liên kết dẫn tới một tệp ZIP được lưu trữ bên ngoài GitHub. Việc mở rộng điều tra nhanh chóng cho thấy đây không phải trường hợp cá biệt mà là một phần của chiến dịch có tổ chức với hàng nghìn repository mang dấu hiệu tương tự.

Theo phân tích, các đối tượng đứng sau chiến dịch đã sao chép hàng loạt repository hợp pháp nhằm tạo vỏ bọc đáng tin cậy trước khi cài cắm liên kết phát tán mã độc. Chúng giữ nguyên lịch sử phát triển của dự án, thông tin contributor và nhiều dữ liệu liên quan để khiến các nhà phát triển tin rằng đây là kho mã nguồn chính thức. Sau đó, README được chỉnh sửa định kỳ để bổ sung các đường dẫn tải xuống tệp ZIP chứa malware. Những thay đổi này thường được ngụy trang dưới các commit có vẻ vô hại như "Update README.md" và liên tục bị ghi đè sau mỗi vài giờ. Các nhà nghiên cứu cho rằng thủ thuật này giúp kẻ tấn công vừa né tránh cơ chế phát hiện tự động, vừa duy trì khả năng xuất hiện trên các hệ thống lập chỉ mục của công cụ tìm kiếm.

Các tệp ZIP được phát tán thường chỉ chứa một số thành phần nhỏ như script thực thi, trình tải mã độc và thư viện động. Điều đáng chú ý là nhiều thành phần riêng lẻ gần như không bị các công cụ bảo mật cảnh báo khi kiểm tra độc lập. Tuy nhiên, khi tải toàn bộ gói và phân tích ở cấp độ tổng thể, Orchid xác nhận chúng chứa trojan. Nhiều dấu hiệu cho thấy kẻ tấn công đang sử dụng kỹ thuật chia nhỏ hoặc làm rối payload nhằm vượt qua các hệ thống quét tự động, khiến những nền tảng phân tích mã độc khó phát hiện mối đe dọa ngay từ đầu.

Nghi ngờ quy mô chiến dịch lớn hơn nhiều so với những gì quan sát được ban đầu, Orchid đã xây dựng một công cụ phân tích dữ liệu từ GH Archive, kho lưu trữ các hoạt động công khai trên GitHub. Trong vòng năm ngày, khoảng 16 triệu sự kiện commit đã được rà soát. Kết quả ban đầu ghi nhận hơn 3.000 repository có dấu hiệu đáng ngờ. Sau khi tiếp tục loại bỏ các tài khoản bot, đánh giá mức độ đa dạng của contributor và phân tích các mẫu commit bất thường, số lượng repository phù hợp với mô hình tấn công này tăng lên khoảng 10.000.

Đáng chú ý, nhiều repository trong số đó đã tồn tại suốt nhiều tháng, thậm chí nhiều năm mà không bị phát hiện. Một số kho mã chỉ có tần suất cập nhật thấp nhưng vẫn tham gia vào chiến dịch phát tán malware, cho thấy nhận định trước đây về việc repository độc hại thường hoạt động dày đặc có thể không còn chính xác. Nhóm nghiên cứu cũng ghi nhận nhiều commit không tạo ra thay đổi thực tế nào đối với mã nguồn, cùng các quy tắc đặt tên và thời điểm cập nhật lặp lại giữa nhiều repository khác nhau, cho thấy phần lớn hoạt động đã được tự động hóa.

Theo các chuyên gia, mục tiêu chính của chiến dịch là lợi dụng uy tín của GitHub trên công cụ tìm kiếm và trong cộng đồng mã nguồn mở. Bằng cách sao chép các dự án mới hoặc ít được chú ý, tin tặc có thể đưa những repository giả mạo xuất hiện trong kết quả tìm kiếm đối với các truy vấn chuyên biệt. Khi nhìn thấy lịch sử phát triển đầy đủ cùng danh sách contributor có vẻ hợp pháp, nhiều nhà phát triển sẽ ít nghi ngờ hơn và dễ dàng tải xuống các tệp đính kèm chứa mã độc. Đây cũng là lý do các chiến dịch tương tự đã xuất hiện từ đầu năm 2025 và từng được sử dụng để phát tán các họ malware như SmartLoader và StealC.

Mặc dù GitHub đã gỡ bỏ một số repository được báo cáo, nhiều kho mã độc khác vẫn tiếp tục tồn tại trên nền tảng. Điều này cho thấy các biện pháp xử lý hiện nay chủ yếu mang tính phản ứng sau khi nhận được báo cáo thay vì chủ động phát hiện trên diện rộng.

Trước nguy cơ các repository GitHub bị lợi dụng để phát tán trojan và mã độc, các chuyên gia khuyến nghị lập trình viên và quản trị viên hệ thống cần thận trọng khi tải tệp từ các kho mã nguồn mở, đặc biệt là các liên kết được chèn trong README hoặc dẫn tới nguồn bên ngoài GitHub. Việc kiểm tra lịch sử dự án, xác minh tính hợp lệ của repository, quét các tệp ZIP trước khi thực thi và ưu tiên tải phần mềm từ nguồn chính thức có thể giúp giảm đáng kể nguy cơ nhiễm malware từ những chiến dịch phát tán mã độc đang ngày càng tinh vi trên GitHub.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Lỗ hổng nghiêm trọng trong plugin Avada Builder đe dọa hơn 1 triệu website WordPress
  • F5 phát hành bản vá cho hai lỗ hổng nghiêm trọng trong NGINX Open Source
  • Sai sót trong Vertex AI Python SDK tạo điều kiện cho tấn công chuỗi cung ứng AI
  • RoguePlanet: Lỗ hổng Defender mới cho phép chiếm toàn quyền máy tính Windows
  • Hơn 73.000 tường lửa Fortinet bị xâm nhập trong làn sóng tấn công diện rộng
  • Chưa kịp vá, 3 lỗ hổng Fortinet FortiSandbox đã bị hacker săn lùng
    • Thẻ
    chiến dịch phát tán mã độc github github malware github repository kho mã nguồn mã nguồn github mã nguồn mở mã độc malware phát tán mã độc readme repository github repository độc hại trojan
    Bên trên