У GitHub выявілі актыўнасць па масавым стварэнні форкаў і клонаў папулярных праектаў, з укараненнем у копіі шкоднасных змен, якія ўключаюць бэкдор. Пошук па імі хаста (ovz1.j19544519.pr46m.vps.myjino.ru), да якога ажыццяўляецца зварот з шкоднаснага кода, паказаў наяўнасць у GitHub больш 35 тысяч змен, прысутных у клонах і форках розных рэпазітараў, уключаючы форкі праектаў crypto, golang, python, js, bash, docker і k8s.
Атака накіравана на тое, што карыстач не стане адсочваць арыгінал і скарыстаецца замест рэпазітара асноўнага праекта кодам з форка або клона з трохі адрозным імем. У цяперашні час GitHub ужо выдаліў большую частку форкаў са шкоднаснай устаўкай. Карыстачам, якія прыходзяць на GitHub з пошукавых сістэм, рэкамендуецца ўважліва правяраць сувязь рэпазітара з асноўным праектам перад выкарыстаннем кода з яго.
Які дадаецца шкоднасны код адпраўляў змесціва зменных асяроддзі на вонкавы сервер з разлікам на крадзеж токенаў да AWS і сістэм бесперапыннай інтэграцыі. Акрамя таго, у код інтэграваўся бэкдор, які запускае shell-каманды, вернутыя пасля адпраўкі запыту да сервера зламыснікаў. Большасць шкоднасных зменаў было дададзена ад 6 да 20 дзён таму, але прысутнічаюць асобныя рэпазітары, у якіх шкоднасны код прасочваецца з 2015 года.
Крыніца: opennet.ru