GitHub het aktiwiteit onthul in die massaskepping van vurke en klone van gewilde projekte, met die bekendstelling van kwaadwillige veranderinge in die kopieΓ«, insluitend 'n agterdeur. 'n Soektog na die gasheernaam (ovz1.j19544519.pr46m.vps.myjino.ru), wat vanaf kwaadwillige kode verkry word, het die teenwoordigheid van meer as 35 duisend veranderinge in GitHub getoon, teenwoordig in klone en vurke van verskeie bewaarplekke, insluitend vurke van crypto, golang, python, js, bash, docker en k8s.
Die aanval is daarop gemik dat die gebruiker nie die oorspronklike sal opspoor nie en kode van 'n vurk of kloon met 'n effens ander naam sal gebruik in plaas van die hoofprojekbewaarplek. Tans het GitHub reeds die meeste vurke verwyder met kwaadwillige invoeging. Gebruikers wat van soekenjins na GitHub kom, word aangeraai om die bewaarplek se verhouding met die hoofprojek noukeurig na te gaan voordat hulle kode daaruit gebruik.
Die bygevoegde kwaadwillige kode het die inhoud van omgewingsveranderlikes na 'n eksterne bediener gestuur met die doel om tokens na AWS en deurlopende integrasiestelsels te steel. Boonop is 'n agterdeur in die kode geΓ―ntegreer, met die bekendstelling van dopopdragte wat teruggestuur is nadat 'n versoek na die aanvallers se bediener gestuur is. Die meeste van die kwaadwillige veranderinge is tussen 6 en 20 dae gelede bygevoeg, maar daar is sommige bewaarplekke waar kwaadwillige kode na 2015 teruggevoer kan word.
Bron: opennet.ru