- Schadelijke commits gevonden in het GitHub-account van Exo Labs
- Ze werden voorgelegd aan en verwezen naar een in Texas gevestigde beveiligingsonderzoeker
- De malware bestaat niet en de onderzoeker beweert dat iemand hem nabootst
Iemand heeft ingebroken in GitHub-projecten door te injecteren kwaadaardige codeen schijnbaar proberen een onderzoeker in diskrediet te brengen door hem van de hack te beschuldigen.
Leidinggevenden van AI- en machine learning-startup Exo Labs hebben gewaarschuwd dat iemand heeft geprobeerd nieuwe wijzigingen in de code in de GitHub-repository van het bedrijf door te voeren.
De toegevoegde code zag er “onschuldig uit” en had de titel “verduidelijk de mlx-vereiste voor deepseek-modellen”, en om de code voor onderzoek te verbergen, heeft de aanvaller deze omgezet naar een getalsequivalent. De inzending werd echter geanalyseerd voordat deze naar de repository werd gepusht, en al snel werd ontdekt dat deze probeerde verbinding te maken met de evildojo(dot)com om de payload van fase één te downloaden. De onderzoekers stelden vast dat er geen payload op de server stond en dat deze eenvoudigweg een 404-fout retourneerde.
Verborgen risico
De onderzoekers gingen dieper in op de aanval en ontdekten dat het evildojo-domein, evenals de GitHub-accounts die bij de aanval betrokken waren, allemaal verwezen naar een onderzoeker genaamd Mike Bell – een beveiligingsonderzoeker en een white-hat hacker uit Texas. Hij ontkent elke betrokkenheid bij de aanval en beweert dat het allemaal een poging was om zijn goede naam te ruïneren.
„Ik niet, een nabootser. Merk op dat het account is verwijderd. Het spijt me heel erg dat mensen met mij in een of andere slip worden gesleept,“ BleepingComputer citeerde Bell die over de aanslagen zei. „Er was nooit enige lading… waarom blijven mensen ervan uitgaan dat die er wel was?“, voegde hij eraan toe.
Toen hem werd ondervraagd over het incident op X, verduidelijkte Bell dat degene die achter de aanval zat, nooit toegang heeft gekregen tot zijn domein, nooit de lading op zijn site heeft gekregen en dat Bell alleen maar ‘iemand kwaad heeft gemaakt, blijkbaar’.
Gegeven het feit dat iedereen een GitHub-account kan aanmaken waarin hij zich voordoet als iemand anders, en aangezien er geen kwaadaardige lading of schade is veroorzaakt, lijkt het idee van een lastercampagne plausibel – vooral omdat Bell actief betrokken is bij de cyberbeveiligingsgemeenschap, zij het van de andere kant.
Via BleepingComputer
