GitHub va revelar activitat en la creació massiva de bifurcacions i clons de projectes populars, amb la introducció de canvis maliciosos a les còpies, inclosa una porta posterior. Una cerca del nom de l'amfitrió (ovz1.j19544519.pr46m.vps.myjino.ru), al qual s'accedeix des de codi maliciós, va mostrar la presència de més de 35 mil canvis a GitHub, presents en clons i bifurcacions de diversos dipòsits, incloses les bifurcacions. de crypto, golang, python, js, bash, docker i k8s.
L'atac està dirigit al fet que l'usuari no rastrejarà l'original i utilitzarà codi d'una bifurcació o clon amb un nom lleugerament diferent en lloc del repositori principal del projecte. Actualment, GitHub ja ha eliminat la majoria de les forquilles amb inserció maliciosa. Es recomana als usuaris que arribin a GitHub des dels motors de cerca que comprovin acuradament la relació del repositori amb el projecte principal abans d'utilitzar el codi d'aquest.
El codi maliciós afegit enviava el contingut de les variables d'entorn a un servidor extern amb la intenció de robar fitxes a AWS i sistemes d'integració contínua. A més, es va integrar una porta posterior al codi, llançant ordres d'intèrpret d'ordres retornades després d'enviar una sol·licitud al servidor dels atacants. La majoria dels canvis maliciosos es van afegir fa entre 6 i 20 dies, però hi ha alguns repositoris on el codi maliciós es pot localitzar fins al 2015.
Font: opennet.ru