Một chiến dịch malware quy mô lớn đã được phát hiện trên GitHub, với hơn 10.000 kho lưu trữ (repository) phân phối các tệp nén chứa Trojan. Sự việc làm dấy lên lo ngại về việc lạm dụng mô hình tin cậy của nền tảng và những hạn chế trong khả năng phát hiện tự động.
Phát hiện và Phương thức Tấn công
Quá trình điều tra bắt đầu khi một nhà nghiên cứu phát hiện một phiên bản sao chép của kho lưu trữ cá nhân xuất hiện trong kết quả tìm kiếm. Mặc dù tên dự án, mô tả và lịch sử commit có vẻ giống hệt, một commit mới đã được thêm vào, giới thiệu một liên kết độc hại trong tệp README. Liên kết này trỏ đến một kho lưu trữ ZIP có thể tải xuống.
Sau đó, hành vi tương tự đã được quan sát trên nhiều kho lưu trữ khác nhau, với các tên và người đóng góp khác nhau, không có mối quan hệ fork trực tiếp. Điều này cho thấy một chiến dịch có sự phối hợp thay vì các sự cố riêng lẻ.
Phân tích Chi tiết Hành vi Độc hại
Phân tích sâu hơn tiết lộ một mẫu hình nhất quán trên các kho lưu trữ này. Kẻ tấn công đã sao chép các kho lưu trữ hợp pháp, bao gồm toàn bộ lịch sử commit và hồ sơ người đóng góp, có khả năng nhằm mục đích thiết lập độ tin cậy.
Sau đó, họ định kỳ sửa đổi tệp README để đưa các liên kết đến các kho lưu trữ ZIP bên ngoài. Các commit này thường xuyên bị ghi đè và đẩy lại sau mỗi vài giờ, thường được gắn nhãn “Update README.md”. Tác chiến này có thể giúp né tránh các cơ chế phát hiện hoặc duy trì khả năng hiển thị trong các hệ thống lập chỉ mục.
Các kho lưu trữ ZIP được liên kết chứa một bộ tệp nhỏ, bao gồm các tập lệnh lệnh, bộ tải thực thi và thư viện động. Mặc dù các liên kết tệp riêng lẻ thường không được phát hiện trên VirusTotal, việc tải xuống và quét toàn bộ kho lưu trữ đã tiết lộ mã độc Trojan.
Điều này cho thấy kẻ tấn công có thể đang sử dụng các kỹ thuật né tránh dựa trên việc chia nhỏ hoặc làm rối mã của các thành phần payload để vượt qua các công cụ quét tự động. Đây là một ví dụ về mối đe dọa mạng tinh vi.
Quy mô và Phương pháp Thu thập Dữ liệu
Để xác định quy mô của chiến dịch, nhà nghiên cứu đã phát triển một tập lệnh sử dụng dữ liệu sự kiện GitHub từ GH Archive. Thay vì quét tất cả các kho lưu trữ, điều này không thực tế do giới hạn tốc độ API, tập lệnh tập trung vào các kho lưu trữ có hoạt động commit thường xuyên.
Trong khoảng 16 triệu sự kiện commit được phân tích trong 5 ngày, khoảng 3.000 kho lưu trữ cho thấy các mẫu cập nhật đáng ngờ. Sau khi tinh chỉnh các bộ lọc để loại trừ bot, thực thi sự đa dạng của người đóng góp và phát hiện thời gian commit bất thường, tập lệnh cuối cùng đã xác định được khoảng 10.000 kho lưu trữ khớp với mẫu độc hại.
Phát hiện và Thách thức
Theo Orchid, nhiều kho lưu trữ bị xâm phạm đã tồn tại trong nhiều tháng hoặc thậm chí nhiều năm mà không bị phát hiện. Các nhà nghiên cứu cũng phát hiện ra rằng một số kho lưu trữ chỉ được cập nhật không thường xuyên, thách thức giả định rằng hoạt động commit nhanh là một đặc điểm xác định của các kho lưu trữ độc hại.
Các chỉ số bổ sung bao gồm các commit không có thay đổi tệp thực tế và các quy ước đặt tên nhất quán, nhấn mạnh thêm các phương pháp triển khai tự động. Sự việc này cho thấy cần phải xem xét các kỹ thuật phát hiện tấn công mới.
Khía cạnh Kỹ thuật và Ảnh hưởng
Lợi dụng Nền tảng và Quy trình làm việc
Chiến dịch này dường như được thiết kế để lợi dụng khả năng hiển thị của GitHub trong các công cụ tìm kiếm và quy trình làm việc của nhà phát triển. Bằng cách sao chép các kho lưu trữ mới tạo hoặc có lưu lượng truy cập thấp, kẻ tấn công tăng khả năng xuất hiện trong kết quả tìm kiếm cho các truy vấn chuyên biệt.
Việc bảo tồn lịch sử commit và siêu dữ liệu người đóng góp làm tăng tính hợp pháp, khiến người dùng có nhiều khả năng tin tưởng và tải xuống các tệp độc hại. Điều này có thể dẫn đến hệ thống bị xâm nhập nếu người dùng không cẩn thận.
Thực thi và Khả năng Phát hiện
Mặc dù có nỗ lực báo cáo, việc khắc phục còn không nhất quán. GitHub đã xóa các kho lưu trữ được liệt kê rõ ràng bởi nhà nghiên cứu. Tuy nhiên, các kho lưu trữ mới được xác định vẫn hoạt động, cho thấy một cách tiếp cận thực thi mang tính phản ứng hơn là chủ động.
Các báo cáo công khai và nghiên cứu trước đây chỉ ra rằng chiến thuật này đã được sử dụng ít nhất từ đầu năm 2025, với các chiến dịch tương tự phân phối các họ mã độc như SmartLoader và StealC. Đây là một ví dụ về lỗ hổng CVE nghiêm trọng có thể bị khai thác.
Thách thức Lâu dài
Phát hiện này nêu bật một thách thức lớn hơn cho các nền tảng lưu trữ mã: phát hiện hành vi độc hại bắt chước hoạt động phát triển hợp pháp. Nếu không có phân tích có khả năng mở rộng về nội dung kho lưu trữ, các mẫu commit và liên kết bên ngoài, các chiến dịch như vậy có thể tồn tại mà không bị phát hiện.
Đối với các nhà phát triển, sự cố này nhấn mạnh tầm quan trọng của việc xác minh các bản tải xuống bên ngoài, ngay cả khi chúng được lấy từ các kho lưu trữ có vẻ hợp pháp. Việc liên tục cập nhật bản vá và cảnh giác là cần thiết để đảm bảo an ninh mạng.
Nguồn tham khảo về chiến dịch tương tự có thể được tìm thấy tại CISA.
