Pesquisadores de segurança digital apuraram que, há meses, o GitHub vem sendo atacado por milhões de repositórios maliciosos. Embora a maioria seja automaticamente detectada e removida, uma quantia relevante consegue se espalhar pela plataforma, fazendo vítimas.
Vulnerabilidade humana
Sendo o maior repositório open source da internet, o GitHub é uma grande conveniência para desenvolvedores recolherem códigos-fonte públicos e agregarem em suas próprias criações. Ele ainda permite que o código-fonte seja replicado por outras pessoas, algo geralmente feito por quem deseja fazer alguma modificação.
O problema, é que agentes desconhecidos estão se aproveitando dessa característica para esconder vírus em meio ao código legítimo e replicar em repositórios com o nome idêntico ao original, mudando apenas o autor.
Conforme pesquisadores da Apiiro, a maioria da ação é automatizada, conseguindo inundar o GitHub de publicações. Apesar das ferramentas de detecção da plataforma, cerca de 1% consegue passar, incluindo grande parcela das publicações maliciosas manuais.
Os agentes promovem o repositório adulterado em fóruns pela internet, alguns deles conseguem alcançar certa relevância e são até mesmo replicados por pessoas que desconhecem o problema. Atualmente, o foco é em repositórios menores e nichados, mais difícil para as vítimas conseguirem discernir o autor original.
Isso reforça a importância de sempre priorizar repositórios oficiais e buscar se informar em fontes reconhecidamente confiáveis, sempre desconfiando de sugestões de desconhecidos em páginas obscuras.
Qual o efeito do ataque?
Este é um ataque de linha de suprimento, onde o código-fonte malicioso consegue se introduzir em softwares legítimos, causando prejuízo em terceiros, inclusive empresas. Grande parte do código alterado utiliza uma variação do vírus BlackCap-Grabber, capaz de roubar credenciais de login de diversos aplicativos, senhas armazenadas em navegadores, cookies e outros dados confidenciais.
Mesmo que quase todos os repositórios maliciosos sejam rapidamente deletados pelo GitHub, alguns podem demorar mais. Dessa forma, os pesquisadores estimam que há mais de 100 mil repositórios maliciosos publicados atualmente na plataforma.
Ao portal ARS Technica, a equipe de comunicação do GitHub não contestou as estimativas, declarando que “Abrigamos mais de 100 milhões de desenvolvedores e mais de 420 milhões de repositórios, empenhando em prover uma plataforma segura. Temos equipes dedicadas a detectar, analisar e remover conteúdos e contas que violam nossos termos de uso. Empenhamos revisões manuais e detecções em larga escala utilizando aprendizado de máquina, constantemente evoluindo e adaptando às táticas adversárias. Encorajamos clientes e a comunidade a reportar abusos e spam.”
Segundo a Apiiro, atualmente os atacantes se aproveitam do fato de que, mesmo tendo milhares de repositórios maliciosos, ainda é um número insignificante dentro do total, conseguindo evitar serviços de detecção.
É difícil determinar quantas pessoas já foram impactadas pelo ataque, se você não tem certeza sobre algum repositório que usou, certifique-se de revisá-lo.
Mantenha-se em dia com as principais notícias da semana no mundo do Linux e da tecnologia, assine nossa newsletter!
