GitHub populyar layihələrin çəngəllərinin və klonlarının kütləvi yaradılmasında aktivliyi aşkar edib, nüsxələrə zərərli dəyişikliklər, o cümlədən arxa qapı. Zərərli koddan daxil olan host adının (ovz1.j19544519.pr46m.vps.myjino.ru) axtarışı GitHub-da çəngəllər də daxil olmaqla müxtəlif depoların klonlarında və çəngəllərində mövcud olan 35 mindən çox dəyişikliyin olduğunu göstərdi. kripto, qolanq, python, js, bash, docker və k8s.
Hücum ona yönəlib ki, istifadəçi orijinalı izləməyəcək və əsas layihə deposu əvəzinə bir az fərqli adla çəngəl və ya klondan olan koddan istifadə edəcək. Hazırda GitHub zərərli daxiletmə ilə çəngəllərin əksəriyyətini artıq silib. Axtarış motorlarından GitHub-a gələn istifadəçilərə tövsiyə olunur ki, əsas layihədən kod istifadə etməzdən əvvəl repozitoriyanın əsas layihə ilə əlaqəsini diqqətlə yoxlasınlar.
Əlavə edilmiş zərərli kod, AWS və davamlı inteqrasiya sistemlərinə tokenləri oğurlamaq məqsədi ilə ətraf mühit dəyişənlərinin məzmununu xarici serverə göndərdi. Bundan əlavə, koda arxa qapı inteqrasiya edilib, təcavüzkarların serverinə sorğu göndərildikdən sonra geri qaytarılan qabıq əmrlərini işə salıb. Zərərli dəyişikliklərin əksəriyyəti 6 və 20 gün əvvəl əlavə edilib, lakin 2015-ci ilə qədər zərərli kodun izlənilə biləcəyi bəzi depolar var.
Mənbə: opennet.ru