Una pericolosa campagna di distribuzione di malware avviata lo scorso maggio e iniziata con l'invio di un numero esiguo di pacchetti dannosi caricati sul Python Package Index (PyPI) si è diffusa a macchia d'olio, compromettendo almeno 100.000 repository presenti su GitHub.
La società di sicurezza Apiiro, responsabile della scoperta, spiega che la strategia utilizzata consiste nella clonazione di repository legittimi che vengono infettati e poi caricati su GitHub con lo stesso nome dei repository originali. A questo punto, il fork del repo infetto viene reiterato migliaia di volte, diffondendo il codice compromesso sui forum e sui canali dei social in modo da colpire il maggior numero di vittime possibili.
Questo vuol dire che nei mesi scorsi migliaia di utenti hanno scaricato repository apparentemente validi che in realtà contenevano un payload infetto. Questo, una volta aperto, esegue codice Python dannoso e un eseguibile binario, consentendo agli attaccanti di sottrarre dati personali, tra cui credenziali di accesso, password, cookie del browser e altre informazioni riservate.
I ricercatori hanno dichiarato che il codice maligno è una versione modificata di BlackCap-Grabber, un malware progettato allo scopo di raccogliere e inviare dati sensibili al server C&C (command-and-control) degli attori malintenzionati, eseguendo nel frattempo una serie di attività dannose aggiuntive.
Un'analisi del codice maligno effettuata da Trend Micro ha evidenziato l'utilizzo di tecniche sofisticate per nascondere la sua vera natura, tra cui l'impiego della funzione exec - per l'esecuzione dinamica del codice - tramite una tecnica nota come "exec smuggling". Questa aggiunge centinaia di caratteri di spazio bianco per allontanare la funzione exec dallo schermo, rendendola meno visibile durante i controlli manuali.
GitHub afferma di essere al corrente della situazione ed è già al lavoro per provare ad arginare la situazione.