كشف GitHub عن نشاط في الإنشاء الجماعي للشوكات والاستنساخات للمشاريع الشائعة، مع إدخال تغييرات ضارة على النسخ، بما في ذلك الباب الخلفي. أظهر البحث عن اسم المضيف (ovz1.j19544519.pr46m.vps.myjino.ru)، والذي يتم الوصول إليه من خلال تعليمات برمجية ضارة، وجود أكثر من 35 ألف تغيير في GitHub، موجودة في النسخ والشوكات لمستودعات مختلفة، بما في ذلك الشوكات من التشفير، Golang، python، js، bash، docker و k8s.
يهدف الهجوم إلى حقيقة أن المستخدم لن يتتبع النسخة الأصلية وسيستخدم رمزًا من شوكة أو نسخة باسم مختلف قليلاً بدلاً من مستودع المشروع الرئيسي. حاليًا، قام GitHub بالفعل بإزالة معظم التشعبات التي تحتوي على إدخالات ضارة. يُنصح المستخدمون القادمون إلى GitHub من محركات البحث بالتحقق بعناية من علاقة المستودع بالمشروع الرئيسي قبل استخدام الكود منه.
أرسلت التعليمات البرمجية الضارة المضافة محتويات متغيرات البيئة إلى خادم خارجي بهدف سرقة الرموز المميزة إلى AWS وأنظمة التكامل المستمر. بالإضافة إلى ذلك، تم دمج باب خلفي في الكود، وتم إرجاع أوامر shell بعد إرسال طلب إلى خادم المهاجمين. تمت إضافة معظم التغييرات الضارة قبل فترة تتراوح بين 6 و20 يومًا، ولكن هناك بعض المستودعات حيث يمكن إرجاع التعليمات البرمجية الضارة إلى عام 2015.
المصدر: opennet.ru