كشف GitHub عن نشاط في الإنشاء الجماعي للشوكات والاستنساخات للمشاريع الشائعة، مع إدخال تغييرات ضارة على النسخ، بما في ذلك الباب الخلفي. أظهر البحث عن اسم المضيف (ovz1.j19544519.pr46m.vps.myjino.ru)، والذي يتم الوصول إليه من خلال تعليمات برمجية ضارة، وجود أكثر من 35 ألف تغيير في GitHub، موجودة في النسخ والشوكات لمستودعات مختلفة، بما في ذلك الشوكات من التشفير، Golang، python، js، bash، docker و k8s.
يهدف الهجوم إلى حقيقة أن المستخدم لن يتتبع النسخة الأصلية وسيستخدم رمزًا من شوكة أو نسخة باسم مختلف قليلاً بدلاً من مستودع المشروع الرئيسي. حاليًا، قام GitHub بالفعل بإزالة معظم التشعبات التي تحتوي على إدخالات ضارة. يُنصح المستخدمون القادمون إلى GitHub من محركات البحث بالتحقق بعناية من علاقة المستودع بالمشروع الرئيسي قبل استخدام الكود منه.
أرسل الكود الخبيث المضاف محتويات متغيرات البيئة إلى جهة خارجية الخادم صُممت هذه الثغرة لسرقة رموز AWS وأنظمة التكامل المستمر. بالإضافة إلى ذلك، تم دمج باب خلفي في الكود لتنفيذ أوامر shell التي يتم إرجاعها بعد إرسال طلب إلى الخادم المهاجمون. أُضيفت معظم التغييرات الخبيثة بين 6 و20 يومًا مضت، ولكن هناك بعض المستودعات التي يمكن تتبع التعليمات البرمجية الخبيثة فيها إلى عام 2015.
المصدر: opennet.ru
