Sinds januari krijgen heel wat ontwikkelaars die hun code op GitHub publiceren e-mails die speciaal opgesteld werden om de aandacht van de opensourceontwikkelaars te trekken. Voorbeelden zijn een aanbod voor betaald programmeerwerk en een vraag om hulp bij een ontwikkelingsproject.

Geniepige technieken

Bij de e-mails zat een bijlage: een gecomprimeerd bestand met als inhoud een Word-document met kwaadaardige macro's. Als de ontvanger dit uitvoerde, voerde de macro een PowerShell-script uit dat de malware Dimnie van een server downloadde.

Dimnie haalt allerlei geniepige technieken uit de kast om Windows-processen te infecteren zonder sporen na te laten op de harde schijf. De malware steelt onder andere gegevens van de computer, versleutelt die en smokkelt die buiten.

Gevoelige informatie

Het is onduidelijk waarom juist ontwikkelaars op GitHub geviseerd worden. Mogelijk willen de aanvallers zo toegang krijgen tot gevoelige informatie van de werkgevers. Veel ontwikkelaars die voor grote bedrijven werken, publiceren in hun vrije tijd immers opensourceprojecten op GitHub.

Ontwikkelaars ontvingen de e-mails zelfs op e-mailadressen die ze alleen op GitHub gebruikten. Het lijkt er dus op dat de aanvallers hun slachtoffers automatisch selecteren op basis van publiekelijk beschikbare informatie op GitHub.