GitHub hat Aktivitäten bei der Massenerstellung von Forks und Klonen beliebter Projekte festgestellt, mit der Einführung böswilliger Änderungen in Kopien, einschließlich einer Hintertür. Eine Suche nach Hostnamen (ovz1.j19544519.pr46m.vps.myjino.ru), auf den über den Schadcode zugegriffen wird, ergab mehr als 35 Änderungen in GitHub, die in Klonen und Forks verschiedener Repositories, einschließlich Forks von Krypto, vorhanden sind. Golang, Python, JS, Bash, Docker und K8s.
Der Angriff zielt darauf ab, dass der Benutzer das Original nicht nachverfolgt und anstelle des Hauptprojekt-Repositorys den Code eines Forks oder Klons mit einem etwas anderen Namen verwendet. Derzeit hat GitHub die meisten Forks mit böswilliger Einfügung bereits entfernt. Benutzern, die über Suchmaschinen zu GitHub gelangen, wird empfohlen, die Beziehung des Repositorys zum Hauptprojekt sorgfältig zu prüfen, bevor sie den Code daraus verwenden.
Der hinzugefügte Schadcode sendete den Inhalt von Umgebungsvariablen an einen externen Server in der Erwartung, Token an AWS und kontinuierliche Integrationssysteme zu stehlen. Darüber hinaus wurde in den Code eine Hintertür integriert, die Shell-Befehle ausführt, die nach dem Senden einer Anfrage an den Server des Angreifers zurückgegeben werden. Die meisten bösartigen Änderungen wurden vor 6 bis 20 Tagen hinzugefügt, es gibt jedoch separate Repositories, in denen schädlicher Code seit 2015 verfolgt wird.
Source: opennet.ru