gik|iewicz

szukaj
10 tysięcy repozytoriów na GitHubie rozsiewa trojany

10 tysięcy repozytoriów na GitHubie rozsiewa trojany

Security 18.06.2026

Badacze z Orchid Files zidentyfikowali dokładnie 10 000 zainfekowanych repozytoriów na platformie GitHub, które rozsiewają trojany. Wszystkie te projekty pochodzą od różnych autorów, mają unikalne nazwy i nie są forkami innych gałęzi. Co więcej, dzielą jeden wspólny wzorzec strukturalny, co pozwoliło na ich automatyczne wykrycie.

TL;DR: Badacze z Orchid Files odkryli 10 000 repozytoriów na GitHubie rozsiewających złośliwe oprogramowanie. Wszystkie projekty pochodzą od różnych twórców i nie są forkami, lecz dzielą wspólny wzorzec ukryty w kodzie. To pozwoliło na zbudowanie skryptu do ich masowej detekcji i usunięcia z platformy.

Jak badacze znaleźli 10 tysięcy zainfeknych repozytoriów na GitHubie?

Zespół Orchid Files odnalazł 10 000 złośliwych repozytoriów na platformie GitHub, które rozprzestrzeniają trojany wśród niczego niepodejrzewających programistów. Odkrycia dokonano dzięki analizie powtarzalnego wzorca w kodzie źródłowym, a nie tradycyjnym sygnaturom antywirusowym. Złośliwe projekty pochodzą od różnych twórców i posiadają unikalne nazwy. To uderzające odkrycie.

Co więcej, zainfekowane kody w ogóle nie są forkami innych repozytoriów, co początkowo znacznie utrudniało ich wykrycie przez standardowe mechanizmy bezpieczeństwa. Badacze zauważyli jednak, że wszystkie te projekty współdzielą jeden specyficzny, wspólny wzorzec działania. Z tego powodu zespół był w stanie napisać dedykowany skrypt wyszukujący ten dokładny schemat. W rezultacie automatycznie zidentyfikowano dziesięć tysięcy szkodliwych projektów na platformie GitHub.

Dlaczego cyberprzestępcy wybierają platformę GitHub do ataków?

Platforma GitHub stała się celem cyberataków, ponieważ programiści naturalnie ufają kodowi udostępnianemu w tym serwisie, a mechanizmy sprawdzania bywają niewystarczające. Przestępcy wykorzystują tę platformę do dystrybucji złośliwego oprogramowania poprzez udawanie legalnych projektów open source.

Ponadto, twórcy złośliwego oprogramowania doskonale wiedzą, że deweloperzy aktywnie szukają gotowych rozwiązań, aby przyspieszyć swoją pracę. Atakujący tworzą fałszywe repozytoria, które początkowo wyglądają jak w pełni funkcjonalne biblioteki programistyczne lub narzędzia. Po pobraniu i uruchomieniu takiego kodu ofiara nieświadomie instaluje na swoim komputerze groźnego trojana. Zatem zaufanie do znanej marki technologicznej staje się tu głównym wektorem ataku. Podobne problemy bezpieczeństwa dotknęły niedawno środowisko Repozytoria GitHub · GitHub, gdzie omawiano zagrożenia płynące z niezweryfikowanych projektów open source.

Jakie techniki maskowania stosują twórcy trojanów w kodzie?

Twórcy trojanów maskują złośliwy kod w repozytoriach poprzez tworzenie projektów od podstaw, a nie przez forking legalnych rozwiązań. Dzięki temu każdy z dziesięciu tysięcy szkodliwych projektów posiadał unikalną nazwę oraz przypisanego innego autora, co całkowicie omija standardowe filtry antyplagiatowe platformy.

Choć projekty różnią się wizualnie, mechanizm działania ukrytego trojana pozostaje w nich niemal identyczny. Na przykład, atakujący ukrywają szkodliwe ładunki w plikach konfiguracyjnych lub skryptach instalacyjnych, które są uruchamiane automatycznie po pobraniu kodu. Taka metoda dystrybucji pozwala na skuteczne obchodzenie podstawowych zabezpieczeń platformy. Z kolei w innych systemach operacyjnych, takich jak Arch Linux, cyberprzestępcy stosują analogiczne taktyki. Według PCFormat, w repozytorium AUR wykryto ponad 400 pakietów zainfekowanych rootkitem, co pokazuje skalę problemu w społecznościach open source.

Jakie są najczęstsze wzorce złośliwego kodu w zainfekowanych projektach?

Wszystkie zidentyfikowane złośliwe repozytoria współdzielą jeden konkretny wzorzec strukturalny, który pozwolił badaczom na napisanie skryptu wykrywającego. Poniżej znajduje się zestawienie najważniejszych cech charakteryzujących te sztucznie wygenerowane projekty:

  • Różni autorzy przypisani do każdego z dziesięciu tysięcy zidentyfikowanych repozytoriów.
  • Unikalne nazwy projektów, mające na celu zmylenie algorytmów sprawdzających duplikaty.
  • Całkowity brak powiązań w strukturze forka z innymi, legalnymi repozytoriami na platformie.
  • Ukryty ładunek wykonujący się automatycznie podczas pierwszego uruchomienia pobranego skryptu.
  • Sfałszowane pliki README oraz instrukcje instalacji, które mają budzić zaufanie u programistów.
  • Kod źródłowy celowo zmodyfikowany tak, aby ukryć rzeczywiste funkcje przed skanerami antywirusowymi.
  • Zintegrowane mechanizmy pobierania dodatkowych modułów z zewnętrznych serwerów kontrolowanych przez atakujących.
  • Szybkie aktualizacje wprowadzające poprawki maskujące po wykryciu wczesnych wersji trojana.

Powtarzalność tych elementów udowadnia, że za kampanią stoi zorganizowana grupa przestępcza korzystająca z narzędzi automatyzujących tworzenie kodu. Omawiany przypadek doskonale wpisuje się w szerszy kontekst bezpieczeństwa opisany w raporcie Sekurak, według którego cyberprzestępcy masowo celują w podnoszenie zanieczyszczonego kodu z zewnętrznych źródeł.

Jak wykryć złośliwe oprogramowanie w pobieranych pakietach programistycznych?

Wykrycie trojanów w dziesięciu tysiącach repozytoriów wymagało napisania dedykowanego skryptu skanującego platformę GitHub pod kątem konkretnego, powtarzalnego wzorca kodu. Tradycyjne programy antywirusowe często nie radzą sobie z takimi zagrożeniami, ponieważ szkodliwe skrypty są często napisane w językach wysokiego poziomu, takich jak Python czy JavaScript, i nie zawierają znanych sygnatur.

Dlatego programiści muszą polegać na własnej analizie kodu przed jego integracją z własnymi projektami. Przede wszystkim należy sprawdzić historię commitów, aktywność twórcy oraz liczbę zgłoszeń w sekcji issues. Zespół badawczy Orchid Files udowodnił, że automatyzacja ataków wymusza zmianę podejścia do weryfikacji zewnętrznych bibliotek. Rekomenduję dokładne sprawdzanie uprawnień, o które prosi dany skrypt podczas instalacji. Warto również korzystać z narzędzi skanujących zależności, na przykład wbudowanych w nowoczesne środowiska programistyczne.

Jak złośliwy kod omija standardowe zabezpieczenia platformy?

Złośliwy kod zidentyfikowany w dziesięciu tysiącach repozytoriów skutecznie omija standardowe zabezpieczenia platformy GitHub poprzez generowanie unikalnych projektów, które nie są bezpośrednimi kopiami istniejących legalnych rozwiązań. Mechanizmy antyplagiatowe i skanery automatyczne działają głównie na podstawie porównań hashy oraz analizy struktury forka.

Złośliwe projekty celowo nie posiadają takich powiązań, co początkowo klasyfikuje je jako nowe, niezależne inicjatywy programistyczne. Ponadto atakujący maskują szkodliwe polecenia w skryptach instalacyjnych, które społeczność traktuje jako standardowy element procesu budowania aplikacji. Mimo wprowadzania nowych funkcji ochronnych, takich jak te omawiane w artykule Jak GitHub zabezpiecza agentowe przepływy pracy w nowoczesnych systemach CI CD – InfoQ, przestępcy wciąż znajdują luki w procedurach weryfikacji nowych kont i projektów. Z tego powodu ochrona przed tak zaawansowanymi kampaniami wymaga ciągłego monitorowania repozytoriów przez niezależne podmioty badawcze.

Jak strukturalne podobieństwo zdradziło 10 tysięcy złośliwych repozytoriów?

Zespół badawczy udowodnił, że automatyzacja ataków wymusza zmianę podejścia do weryfikacji zewnętrznych bibliotek.

Cyberprzestępcy celowo generują unikalne projekty od podstaw, aby całkowicie ominąć standardowe filtry antyplagiatowe platformy. Z kolei w systemach takich jak Arch Linux cyberprzestępcy stosują analogiczne taktyki.

W jaki sposób społeczność open source reaguje na zalew fałszywych projektów?

Społeczność open source musi nieustannie adaptować swoje metody weryfikacji, ponieważ zidentyfikowanie 10 000 szkodliwych repozytoriów udowadnia, że standardowe mechanizmy ochrony zawodzą. Twórcy złośliwego oprogramowania wiedzą, że deweloperzy aktywnie szukają gotowych rozwiązań, aby przyspieszyć swoją pracę. Atakujący tworzą fałszywe biblioteki.

Ponadto, zaufanie do znanej marki technologicznej staje się głównym wektorem skutecznego ataku na programistów z całego świata.

Jakie techniki obrony przed złośliwym kodem działają w praktyce?

Ochrona przed tak zaawansowanymi kampaniami wymaga ciągłego monitorowania repozytoriów przez niezależne podmioty badawcze oraz wdrożenia rygorystycznych procedur sprawdzania kodu. Nie zawierają one znanych sygnatur.

Należy sprawdzić historię commitów oraz aktywność twórcy. Co więcej, warto korzystać z narzędzi skanujących zależności, które są wbudowane w nowoczesne środowiska programistyczne.

Oto kluczowe kroki minimalizujące ryzyko infekcji z zewnętrznych źródeł:

  • Weryfikacja daty utworzenia konta autora oraz jego historycznej aktywności w serwisie.
  • Analiza plików konfiguracyjnych i skryptów budujących pod kątem podejrzanych poleceń sieciowych.
  • Sprawdzanie, czy pobierany projekt jest oryginałem, czy też złośliwym forkiem ukrywającym ładunek.
  • Używanie izolowanych środowisk kontenerowych do testowania nieznanych pakietów programistycznych.
  • Monitorowanie uprawnień dostępu do sieci oraz systemu plików żądanych przez nowo pobrane skrypty instalacyjne.
  • Ignorowanie projektów z idealnie sfałszowanymi plikami README, które zawierają minimalną ilość kodu źródłowego.
  • Regularne aktualizowanie narzędzi skanujących zależności we wszystkich firmowych procesach deweloperskich.

Jakie są techniczne konsekwencje infekcji dla środowiska programistycznego?

Techniczne konsekwencje infekcji zidentyfikowanej w 10 000 repozytoriów obejmują nieautoryzowany dostęp do środowiska programistycznego oraz kradzież poufnych tokenów uwierzytelniających. Złośliwe polecenia są często ukryte w standardowych skryptach instalacyjnych, które społeczność traktuje jako niezbędny element procesu budowania aplikacji. To otwiera backdoor.

Zainfekowane skrypty natychmiast po uruchomieniu próbują nawiązać połączenie z zewnętrznymi serwerami kontrolowanymi przez atakujących. Przestępcy celują w kradzież danych logowania, kluczy SSH, a także tokenów API, co zostało dokładnie opisane w analizie przypadku Kradzież tokena GitHub jednym kliknięciem przez błąd w VSCode. Taki scenariusz pozwala na całkowite przejęcie konta dewelopera. Zatem atakujący mogą wstrzykiwać złośliwy kod również do legalnych projektów firmowych ofiary.

Wektor atakuSposób maskowaniaSkutek dla programistyNarzędzie obrony
Skrypt instalacyjnyPlik konfiguracyjny npm lub pipUruchomienie trojana w tleAnaliza statyczna kodu
Fałszywy forkUnikalna nazwa i nowy autorWirus w zależnościach projektuSkanowanie zależności
Złośliwy CI/CDModyfikacja pliku workflowKradzież tokenów chmurowychOgraniczenie uprawnień

Dlaczego automatyzacja tworzenia złośliwego kodu stanowi tak duże wyzwanie?

Automatyzacja tworzenia złośliwego kodu stanowi ogromne wyzwanie, ponieważ 10 000 projektów wygenerowanych przez maszynę całkowicie zalewa tradycyjne mechanizmy recenzji społeczności. Skala ataku jest przytłaczająca.

Atakujący zautomatyzowali proces tworzenia unikalnych repozytoriów, co pozwala im na błyskawiczne odtwarzanie usuniętych projektów po interwencji moderatorów. Złośliwy kod źródłowy jest celowo modyfikowany tak, aby ukryć rzeczywiste funkcje przed skanerami antywirusowymi. Co więcej, zintegrowane mechanizmy pobierają dodatkowe moduły z zewnętrznych serwerów kontrolowanych przez atakujących. W rezultacie cyberprzestępcy mogą dynamicznie zmieniać zachowanie już zainstalowanego trojana na komputerze ofiary.

Często zadawane pytania

Ile dokładnie złośliwych repozytoriów zidentyfikowano na platformie GitHub?

Badacze z Orchid Files zidentyfikowali dokładnie 10 000 złośliwych repozytoriów rozsiewających trojany. Należy unikać pobierania niezweryfikowanych pakietów z nieznanych kont.

Dlaczego standardowe skanery antywirusowe nie wykryły tych złośliwych projektów?

Tradycyjne antywirusy zawodzą, ponieważ szkodliwe skrypty są napisane w językach wysokiego poziomu i nie posiadają znanych sygnatur. Zawsze analizuj kod źródłowy przed jego uruchomieniem.

Czy zainfekowane projekty były forkami legalnych bibliotek open source?

Zainfekowane kody w ogóle nie były forkami, lecz projektami wygenerowanymi od podstaw z unikalnymi nazwami. Weryfikuj historię commitów przed dodaniem nowej zależności.

Co umożliwiło badaczom masowe wykrycie zainfekowanych projektów?

Wszystkie złośliwe repozytoria współdzieliły jeden specyficzny wzorzec strukturalny ukryty w plikach konfiguracyjnych. Korzystaj z narzędzi do analizy statycznej skanujących zależności we własnych projektach.

Podsumowanie i wezwanie do akcja

Odkrycie 10 000 złośliwych repozytoriów na platformie GitHub uświadamia programistom, że zaufanie do kodu open source wymaga dziś zupełnie nowego podejścia. Po pierwsze, automatyzacja tworzenia projektów pozwala przestępcom na masową dystrybucję trojanów pod przykrywką legalnych bibliotek. Po drugie, standardowe zabezpieczenia platformy oraz tradycyjne programy antywirusowe nie radzą sobie z wykrywaniem skryptów instalacyjnych. Po trzecie, jedynym skutecznym mechanizmem obrony pozostaje manualna analiza kodu oraz weryfikacja historii konta twórcy. Po czwarte, programiści muszą bezwzględnie stosować izolowane środowiska kontenerowe do testowania nieznanych pakietów pobieranych z internetu. Upewnij się, że Twój zespół deweloperski rozumie te zagrożenia i przeprowadź audyt wszystkich zewnętrznych zależności w swoich projektach jeszcze dziś, aby zapobiec kosztownej kradzieży danych.