Banana Squad verbergt data-stelende malware in neppe GitHub-repositories

Onderzoekers van ReversingLabs hebben onlangs een nieuwe en verontrustende aanvalsmethode ontdekt, geleid door een groep genaamd Banana Squad. Deze groep, voor het eerst geïdentificeerd door Checkmarx-onderzoekers in oktober 2023, staat bekend om hun sluwe methoden. Hun naam is afgeleid van een oud schadelijk internetadres, bananasquadru .

Het team van ReversingLabs, waaronder Principal Malware Researcher Robert Simmons, vond meer dan 60 nep-projectmappen, zogenaamde repositories, op GitHub . Deze mappen leken op echte hackerstools, geschreven in Python, maar ze waren in werkelijkheid trojanized, wat betekent dat ze verborgen kwaadaardige code bevatten.

Tijdens hun eerdere aanvallen, die in april 2023 begonnen, verspreidde Banana Squad honderden kwaadaardige softwarepakketten onder verschillende gebruikersnamen, zo schreven onderzoekers in hun blogpost die ze met Hackread.com deelden. Deze programma's waren ontworpen voor Windows-computers en waren erop gericht om "grote hoeveelheden gevoelige gegevens te stelen", waaronder informatie van computers, apps, webbrowsers en zelfs cryptowallets door geld om te leiden.

Deze schadelijke pakketten werden bijna 75.000 keer gedownload voordat ze werden gevonden en verwijderd. Meer recent, in november 2024, toonde een schadelijk project van Banana Squad, gevonden op dieserbenniru , een nieuwe truc. Ze gebruikten een GitHub-functie waarbij lange regels code niet worden afgebroken.

Bovendien hebben aanvallers veel spaties toegevoegd om hun schadelijke code van het scherm te verwijderen, waardoor deze onzichtbaar is voor iedereen die er alleen maar naar kijkt. Dit maakt het veel moeilijker om het verborgen gevaar te ontdekken. Nepgebruikersaccounts, vaak met slechts één project, worden door Banana Squad vaak gebruikt om deze schadelijke repositories te hosten.

Naast de specifieke activiteiten van Banana Squad wijst de algehele toename van OSS-risico's op aanhoudende problemen. Een nieuw rapport van ReversingLabs voor 2025 schetst een veranderend beeld van de veiligheid van opensourcesoftware (OSS).

Hoewel de hoeveelheid malware die in OSS-repositories wordt aangetroffen in het algemeen in 2024 aanzienlijk is gedaald (een afname van 70% op platforms zoals npm, PyPI en RubyGems vergeleken met 2023), neemt het risico dat OSS de softwareontwikkeling oplevert juist toe.

Deze cybercriminelen worden steeds slimmer. Ze gebruiken meer verborgen en complexe aanvalsmethoden, met name op platforms zoals GitHub, in plaats van simpelweg simpele malware te uploaden. Deze positieve trend in malwarereductie is deels te danken aan betere beveiligingsmaatregelen, waaronder verplichte tweefactorauthenticatie (2FA) en de Malicious Packages Repository van OpenSSF, die in 2023 werd gelanceerd .

Andere rapporten wijzen op problemen zoals een toename van geheime lekken in 2024, waarbij gevoelige inloggegevens worden blootgelegd. Een blik op de belangrijkste OSS-pakketten onthulde ook veel beveiligingslekken en coderot – een afhankelijkheid van oude, niet-onderhouden code. Dit betekent dat populariteit niet gelijk staat aan veiligheid. De evoluerende dreiging betekent dat iedereen die opensourcesoftware gebruikt waakzamer moet zijn en betere tools moet gebruiken om zich te beschermen tegen groepen zoals Banana Squad en andere opkomende dreigingen.