GitHub identifikoval aktivitu v hromadném vytváření forků a klonů populárních projektů se zaváděním škodlivých změn do kopií, včetně zadních vrátek. Vyhledávání podle názvu hostitele (ovz1.j19544519.pr46m.vps.myjino.ru), ke kterému se přistupuje ze škodlivého kódu, ukázalo více než 35 tisíc změn v GitHubu, přítomných v klonech a forcích různých úložišť, včetně forků kryptoměn, golang, python, js, bash, docker a k8s.
Útok směřuje k tomu, že uživatel nebude sledovat originál a místo hlavního úložiště projektu použije kód z forku nebo klonu s trochu jiným názvem. V současné době GitHub již odstranil většinu forků se škodlivým vkládáním. Uživatelům přicházejícím na GitHub z vyhledávačů se doporučuje, aby před použitím kódu z úložiště pečlivě zkontrolovali vztah úložiště k hlavnímu projektu.
Přidaný škodlivý kód odeslal obsah proměnných prostředí na externí server s očekáváním krádeže tokenů do AWS a systémů průběžné integrace. Kromě toho byla do kódu integrována zadní vrátka, která spouští příkazy shellu vrácené po odeslání požadavku na server útočníka. Většina škodlivých změn byla přidána před 6 až 20 dny, ale existují samostatná úložiště, kde byl škodlivý kód vysledován od roku 2015.
Zdroj: opennet.ru