GitHub afslørede aktivitet i masseoprettelse af gafler og kloner af populære projekter, med introduktionen af ondsindede ændringer i kopierne, inklusive en bagdør. En søgning efter værtsnavnet (ovz1.j19544519.pr46m.vps.myjino.ru), som tilgås fra ondsindet kode, viste tilstedeværelsen af mere end 35 tusinde ændringer i GitHub, til stede i kloner og gafler i forskellige lagre, inklusive gafler af crypto, golang, python, js, bash, docker og k8s.
Angrebet er rettet mod det faktum, at brugeren ikke vil spore originalen og vil bruge kode fra en gaffel eller klon med et lidt andet navn i stedet for hovedprojektets repository. I øjeblikket har GitHub allerede fjernet de fleste gafler med ondsindet indsættelse. Brugere, der kommer til GitHub fra søgemaskiner, rådes til omhyggeligt at tjekke depotets forhold til hovedprojektet, før de bruger kode fra det.
Den tilføjede ondsindede kode sendte indholdet af miljøvariabler til en ekstern server med den hensigt at stjæle tokens til AWS og kontinuerlige integrationssystemer. Derudover blev en bagdør integreret i koden, der lancerede shell-kommandoer, der blev returneret efter at have sendt en anmodning til angriberens server. De fleste af de ondsindede ændringer blev tilføjet for mellem 6 og 20 dage siden, men der er nogle arkiver, hvor skadelig kode kan spores tilbage til 2015.
Kilde: opennet.ru