Το GitHub έχει εντοπίσει δραστηριότητα στη μαζική δημιουργία πιρουνιών και κλώνων δημοφιλών έργων, με την εισαγωγή κακόβουλων αλλαγών σε αντίγραφα, συμπεριλαμβανομένου ενός backdoor. Μια αναζήτηση με βάση το όνομα του κεντρικού υπολογιστή (ovz1.j19544519.pr46m.vps.myjino.ru), στην οποία γίνεται πρόσβαση από τον κακόβουλο κώδικα, έδειξε περισσότερες από 35 χιλιάδες αλλαγές στο GitHub, που υπάρχουν σε κλώνους και πιρούνια διαφόρων αποθετηρίων, συμπεριλαμβανομένων των πιρουνιών κρυπτογράφησης, golang, python, js, bash, docker και k8s.
Η επίθεση στοχεύει στο γεγονός ότι ο χρήστης δεν θα παρακολουθεί το πρωτότυπο και θα χρησιμοποιήσει τον κώδικα από ένα πιρούνι ή κλώνο με ένα ελαφρώς διαφορετικό όνομα αντί για το κύριο αποθετήριο του έργου. Επί του παρόντος, το GitHub έχει ήδη αφαιρέσει τα περισσότερα πιρούνια με κακόβουλη εισαγωγή. Συνιστάται στους χρήστες που έρχονται στο GitHub από μηχανές αναζήτησης να ελέγχουν προσεκτικά τη σχέση του αποθετηρίου με το κύριο έργο προτού χρησιμοποιήσουν τον κώδικα από αυτό.
Ο προστιθέμενος κακόβουλος κώδικας έστειλε τα περιεχόμενα των μεταβλητών περιβάλλοντος σε έναν εξωτερικό διακομιστή με την προσδοκία της κλοπής διακριτικών σε συστήματα AWS και συνεχούς ενοποίησης. Επιπλέον, μια κερκόπορτα ενσωματώθηκε στον κώδικα που εκτελεί εντολές φλοιού που επιστράφηκαν μετά την αποστολή ενός αιτήματος στον διακομιστή του εισβολέα. Οι περισσότερες από τις κακόβουλες αλλαγές προστέθηκαν πριν από 6 έως 20 ημέρες, αλλά υπάρχουν ξεχωριστά αποθετήρια όπου εντοπίστηκε κακόβουλος κώδικας από το 2015.
Πηγή: opennet.ru