मुझे Trojan malware वितरित करने वाले 10k GitHub repositories मिले
Malware Campaign की प्रकृति
- Repositories देखने में उपयोगी projects होस्ट करते हैं, लेकिन linked ZIP archives या “releases” में बदले गए binaries के ज़रिए malware वितरित करते हैं।
- Samples में IP info services, Polygon RPC nodes, और एक C2 server की ओर network activity दिखती है, जो crypto theft का संकेत देती है।
- एक analyzed sample “disco” trojan family से मेल खाता है; अधिकांश payloads Windows-focused हैं।
- Attackers अक्सर commits delete करके फिर से push करते हैं ताकि “recently updated” और search results में ऊपर बने रहें।
GitHub की भूमिका और प्रतिक्रिया
- Reporting के मिश्रित अनुभव: कुछ repos 24 घंटे के भीतर हटा दिए गए; कुछ महीनों या वर्षों तक बने रहते हैं (स्पष्ट piracy वाले भी शामिल)।
- Commenters का तर्क है कि GitHub curated repository नहीं है, बल्कि links के साथ file host या forum जैसा है।
- कई लोगों का मानना है कि GitHub/Microsoft अपनी resources, जिसमें AI भी शामिल है, proactive malware detection के लिए कम इस्तेमाल कर रहे हैं; संभवतः business tradeoffs और false-positive risks की वजह से।
“Open Source Is Safe” की सीमाएँ
- इस आम धारणा पर ज़ोरदार बहस है कि open source “safer” है क्योंकि यह auditable है।
- कई लोग नोट करते हैं कि:
- बहुत कम लोग वास्तव में code पढ़ते हैं या verify करते हैं कि binaries sources से match करती हैं।
- Stars, popularity, और “many eyes” सुरक्षा का झूठा एहसास पैदा करते हैं और आसानी से game किए जा सकते हैं।
- दूसरे लोग counter करते हैं कि open source कभी भी clean होने की गारंटी नहीं था, बस अधिक auditable था; naïve trust के counterexample के रूप में xz backdoor का उल्लेख किया जाता है।
Detection, Scanning, और Tooling
- VirusTotal कभी-कभी malware को केवल तब flag करता है जब ZIP सीधे upload किया जाए, सिर्फ लिंक दिए जाने पर नहीं।
- GitHub-व्यापी release/binary scanning और basic heuristics की मांग: नए accounts, synchronized stargazers, cloned malware trees।
- Mention किए गए existing tools: Socket, Aikido, Step-Security, Wiz, Semgrep-style scanning; कुछ लोग बेहतर pre-download GitHub scanners चाहते हैं।
Search Engines और Phishing
- Search results (खासकर non-Google) अक्सर legitimate repos के ऊपर phishing या malicious GitHub forks दिखाते हैं।
- कुछ users bank और GitHub projects के लिए phishing pages को ऊँची ranking पर पाते हैं; others कहते हैं कि यह कई major search engines पर होता है।
Account Security और Password Practices
- GitHub plugin से malware के एक high-profile मामले में password manager compromise होने पर इस पर बहस छिड़ जाती है कि:
- TOTP/MFA को passwords के साथ उसी vault में रखना चाहिए या नहीं।
- Hardware keys (जैसे YubiKey), अलग devices, या multiple vaults का उपयोग करना चाहिए या नहीं।
- कई लोग तर्क देते हैं कि password managers एक uncompromised device मानकर चलते हैं; once malware locally चल जाए, कई defenses विफल हो जाते हैं।
Social Engineering और Fake Technical Tests
- Recruitment scams के वर्णन: “dream job” offers, फिर एक “technical test” repo जो वास्तव में malware deploy करता है।
- कुछ developers अब ऐसे सभी tests केवल disposable VMs में चलाते हैं और outbound connections पर नज़र रखते हैं।
Ecosystem Quality को लेकर व्यापक चिंताएँ
- धारणा है कि GitHub “SourceForge 2.0” की ओर बढ़ रहा है: spam, malware, SEO-gamed stars, और कमजोर enforcement।
- कुछ लोग इसे open ecosystem की लंबे समय से चली आ रही वास्तविकता मानते हैं; दूसरे लोग बड़े corporate ownership और growth incentives को दोष देते हैं।