GitHub on tuvastanud tegevuse populaarsete projektide kahvlite ja kloonide massilises loomises, tehes koopiatesse pahatahtlikke muudatusi, sealhulgas tagaukse. Otsing hostinime järgi (ovz1.j19544519.pr46m.vps.myjino.ru), millele pääseb juurde pahatahtlikust koodist, näitas GitHubis enam kui 35 tuhat muudatust, mis esinevad erinevate hoidlate kloonides ja kahvlites, sealhulgas krüptokahvlites, golang, python, js, bash, docker ja k8s.
Rünnak on suunatud sellele, et kasutaja ei jälgiks originaali ning kasutaks põhiprojekti hoidla asemel veidi erineva nimega kahvli või klooni koodi. Praegu on GitHub juba enamiku pahatahtliku sisestamisega kahvlitest eemaldanud. Otsingumootoritest GitHubisse tulevatel kasutajatel soovitatakse enne selle koodi kasutamist hoolikalt kontrollida hoidla linki põhiprojektiga.
Lisatud pahatahtlik kood saatis keskkonnamuutujate sisu välisserverisse, lootes varastada AWS-i ja pidevate integratsioonisüsteemide žetoonid. Lisaks integreeriti koodi tagauks, mis käivitab pärast ründajate serverile päringu saatmist tagasi saadetud shellikäske. Enamik pahatahtlikke muudatusi lisati 6–20 päeva tagasi, kuid on olemas eraldi hoidlad, kus pahatahtlikku koodi on jälgitud alates 2015. aastast.
Allikas: opennet.ru