GitHub ha identificado actividad en la creación masiva de bifurcaciones y clones de proyectos populares, con la introducción de cambios maliciosos en las copias, incluida una puerta trasera. Una búsqueda por nombre de host (ovz1.j19544519.pr46m.vps.myjino.ru), a la que se accede desde el código malicioso, mostró más de 35 mil cambios en GitHub, presentes en clones y bifurcaciones de varios repositorios, incluidas bifurcaciones de criptografía, golang, python, js, bash, docker y k8s.
El ataque tiene como objetivo el hecho de que el usuario no rastreará el original y usará el código de una bifurcación o clon con un nombre ligeramente diferente en lugar del repositorio principal del proyecto. Actualmente, GitHub ya eliminó la mayoría de las bifurcaciones con inserción maliciosa. Se recomienda a los usuarios que llegan a GitHub desde los motores de búsqueda que verifiquen cuidadosamente la relación del repositorio con el proyecto principal antes de usar el código de este.
El código malicioso agregado envió el contenido de las variables de entorno a un servidor externo con la expectativa de robar tokens para AWS y los sistemas de integración continua. Además, se integró una puerta trasera en el código que ejecuta los comandos de shell devueltos después de enviar una solicitud al servidor del atacante. La mayoría de los cambios maliciosos se agregaron hace entre 6 y 20 días, pero hay repositorios separados donde se ha rastreado el código malicioso desde 2015.
Fuente: opennet.ru