GitHub je identificirao aktivnost u masovnom kreiranju fork-ova i klonova popularnih projekata, uz uvođenje zlonamjernih promjena u kopije, uključujući backdoor. Pretraživanje po imenu hosta (ovz1.j19544519.pr46m.vps.myjino.ru), kojem se pristupa iz zlonamjernog koda, pokazalo je više od 35 hiljada promjena na GitHub-u, prisutnih u klonovima i forkovima različitih spremišta, uključujući forkove kriptovaluta, golang, python, js, bash, docker i k8s.
Napad je usmjeren na to da korisnik neće pratiti original već će koristiti kod iz fork-a ili klona s malo drugačijim imenom umjesto glavnog spremišta projekta. Trenutno je GitHub već uklonio većinu forkova sa zlonamjernim umetanjem. Korisnicima koji na GitHub dolaze sa pretraživača savjetuje se da pažljivo provjere odnos spremišta i glavnog projekta prije korištenja koda iz njega.
Dodati zlonamjerni kod poslao je sadržaj varijabli okruženja na eksterni server uz očekivanje krađe tokena AWS-u i sistemima kontinuirane integracije. Uz to, backdoor je integriran u kod koji pokreće shell komande vraćene nakon slanja zahtjeva serveru napadača. Većina zlonamjernih izmjena dodata je između 6 i 20 dana, ali postoje odvojena spremišta u kojima se zlonamjerni kod prati od 2015. godine.
izvor: opennet.ru