GitHub ha identificado actividad en la creación masiva de bifurcaciones y clones de proyectos populares, con la introducción de cambios maliciosos en las copias, incluida una puerta trasera. Una búsqueda por nombre de host (ovz1.j19544519.pr46m.vps.myjino.ru), a la que se accede desde el código malicioso, mostró más de 35 mil cambios en GitHub, presentes en clones y bifurcaciones de varios repositorios, incluidas bifurcaciones de criptografía, golang, python, js, bash, docker y k8s.
El ataque tiene como objetivo el hecho de que el usuario no rastreará el original y usará el código de una bifurcación o clon con un nombre ligeramente diferente en lugar del repositorio principal del proyecto. Actualmente, GitHub ya eliminó la mayoría de las bifurcaciones con inserción maliciosa. Se recomienda a los usuarios que llegan a GitHub desde los motores de búsqueda que verifiquen cuidadosamente la relación del repositorio con el proyecto principal antes de usar el código de este.
El código malicioso añadido enviaba el contenido de las variables de entorno a un sistema externo. servidor diseñado para robar tokens para AWS y sistemas de integración continua. Además, se integró una puerta trasera en el código que ejecutaba comandos de shell devueltos después de enviar una solicitud a servidor Atacantes. La mayoría de los cambios maliciosos se añadieron hace entre 6 y 20 días, pero existen algunos repositorios donde el código malicioso se remonta a 2015.
Fuente: opennet.ru
