Исследователи DFIR.it нашли на GitHub 89 аккаунтов, которые продвигали 73 репозитория с опасными «клонами» легитимных приложений и библиотек для Windows, Mac и Linux (включая MinGW, GCC, Ffmpeg, EasyModbus и ряд Java-игр).
Расследование началось практически случайно, с обнаружения вредоносной версии браузера JXplorer LDAP, но вскоре выяснилось, что подобных приложений и библиотек насчитывается более 300, и все они содержат вредоносный код, обеспечивающий злоумышленникам устойчивое присутствие в системах жертв и позволяющий впоследствии загружать дополнительную малварь.
По данным аналитиков, приложения заражали машины пострадавших вредоносом Supreme NYC Blaze Bot (supremebot.exe), объединявшим зараженные устройства в ботнет.
Исследователи отмечают, что атакующие активно продвигали свою мавларь и репозитории в поиске на GitHub (с помощью других учетных записей ставили «звездочки» и добавляли малварь в watch-списки).
Оказалось, что один только аккаунт, зарегистрированный на имя некоего Andrew Dunkins, хостил 305 ELF-бинарников с бэкдорами. Список всех 89 аккаунтов неизвестных злоумышленников можно найти здесь. В настоящее время все ученые записи и вредоносные копии приложений, обнаруженные исследователями, уже удалены с GitHub.