Bij een recente cyberaanval op GitHub Desktop-gebruikers is een combinatie van betaalde advertenties en een commit op de legitieme GitHub-repository ingezet om slachtoffers om de tuin te leiden. Daarbij zijn malafide URL's toegevoegd aan een README-bestand, met als doel slachtoffers malware te laten downloaden. Dit meldt Arctic Wolf in een analyse van de aanval.

Een GitHub-commit is een snapshot van de veranderingen die aan een Git-repository zijn doorgevoerd op een specifiek moment. Iedere commit krijgt daarbij een unieke ID toegekend in de vorm van een SHA of hash. De aanvallers hebben dit gebruikt om gebruikers te manipuleren. Daarbij is een commit in de legitieme repository gecreëerd, waarna de ID van deze commit in de URL van een malafide pagina is verwerkt. De URL verwees hierdoor direct door naar deze specifieke commit. Gebruikers kregen hierdoor een pagina te zien die identiek leek aan de originele repository, maar een aangepast README-bestand bevatte waar malafide URL's aan waren toegevoegd.

Door de werkwijze kunnen ook oplettende gebruikers om de tuin worden geleid, waarschuwt Arctic Wolf. Zo lijkt de naam en URL van de repository op het eerste oog correct, worden namen van echte contributors weergegeven en is de metadata van de pagina identiek aan het origineel. De malafide pagina is alleen te herkennen aan een melding aan de bovenzijde van de pagina, waaruit blijkt dat de bezoeker naar een specifieke commit kijkt in plaats van de standaard repository. Arctic Wolf meldt dat de melding echter eenvoudig aan het zicht kan worden onttrokken, bijvoorbeeld door slachtoffers direct door te sturen naar de downloadpagina. In de onderzochte aanval deden de aanvallers dit door slachtoffers via een malafide Google Ads-advertentie direct door te sturen naar deze pagina.

Wie in de truc trapt en de malafide URL's uit het README-bestand bezoekt, krijgt malware geserveerd. Arctic Wolf spreekt van unieke malware. Het gaat om een Microsoft Software Installer van 128 MB groot die de meeste security-sandboxes weet te vermijden. De payload wordt alleen ontsleuteld op systemen met een grafische kaart (GPU), en blijft op systemen die niet over een losse GPU beschikken hierdoor versleuteld. Ook veel systemen die voor het analyseren van malware worden gebruikt vallen hieronder. De aanvalstechniek wordt door Arctic Wolf 'GPUGate' genoemd.

Op basis van de werkwijze vermoedt Arctic Wolf dat de aanvallers zich specifiek richten op systemen met specifieke hardwareconfiguraties. Mogelijk richten de aanvallers zich zo op ontwikkelaars en gebruikers die zich bezig houden met cryptomining. "Wij denken dat het doel van deze campagne was om initiële toegang te verkrijgen tot organisaties, met als doel malafide activiteiten zoals de diefstal van inloggegevens, datadiefstal en inzet van ransomware", meldt Arctic Wolf.