GitHub malkaŝis aktivecon en la amasa kreado de forkoj kaj klonoj de popularaj projektoj, kun la enkonduko de malicaj ŝanĝoj en la kopiojn, inkluzive de malantaŭa pordo. Serĉo de la gastiga nomo (ovz1.j19544519.pr46m.vps.myjino.ru), kiu estas alirebla de malica kodo, montris la ĉeeston de pli ol 35 mil ŝanĝoj en GitHub, ĉeestantaj en klonoj kaj forkoj de diversaj deponejoj, inkluzive de forkoj. de kripto, golango, python, js, bash, docker kaj k8s.
La atako celas la fakton, ke la uzanto ne spuros la originalon kaj uzos kodon de forko aŭ klono kun iomete malsama nomo anstataŭ la ĉefa projekta deponejo. Nuntempe, GitHub jam forigis la plej multajn el la forkoj kun malica enmeto. Uzantoj venantaj al GitHub de serĉiloj estas konsilitaj zorge kontroli la rilaton de la deponejo kun la ĉefa projekto antaŭ ol uzi kodon de ĝi.
La aldonita malica kodo sendis la enhavon de mediaj variabloj al ekstera servilo kun la intenco ŝteli ĵetonojn al AWS kaj kontinuaj integrigaj sistemoj. Krome, malantaŭa pordo estis integrita en la kodon, lanĉante ŝelkomandojn resenditajn post sendado de peto al la servilo de la atakantoj. La plej multaj el la malicaj ŝanĝoj estis aldonitaj antaŭ 6 kaj 20 tagoj, sed ekzistas kelkaj deponejoj, kie malica kodo povas esti spurita ĝis 2015.
fonto: opennet.ru