GitHub فعالیت خود را در ایجاد انبوه فورکها و کلونهای پروژههای محبوب، با ایجاد تغییرات مخرب در کپیها، از جمله درب پشتی، فاش کرد. جستجو برای نام میزبان (ovz1.j19544519.pr46m.vps.myjino.ru) که از طریق کدهای مخرب قابل دسترسی است، وجود بیش از 35 هزار تغییر در GitHub را نشان داد که در کلون ها و فورک های مخازن مختلف از جمله فورک ها وجود دارد. کریپتو، گلانگ، پایتون، js، bash، docker و k8s.
هدف این حمله این است که کاربر نسخه اصلی را ردیابی نکند و از کد یک فورک یا کلون با نام کمی متفاوت به جای مخزن اصلی پروژه استفاده کند. در حال حاضر، GitHub در حال حاضر اکثر فورک ها را با درج مخرب حذف کرده است. به کاربرانی که از موتورهای جستجو به GitHub میآیند توصیه میشود قبل از استفاده از کد از آن، رابطه مخزن با پروژه اصلی را به دقت بررسی کنند.
کد مخرب اضافه شده، محتویات متغیرهای محیطی را با هدف سرقت توکنها به AWS و سیستمهای یکپارچهسازی مداوم به سرور خارجی ارسال میکرد. علاوه بر این، یک درب پشتی در کد ادغام شد و دستورات شل پس از ارسال درخواست به سرور مهاجمان بازگردانده شد. بسیاری از تغییرات مخرب بین 6 تا 20 روز پیش اضافه شده اند، اما برخی از مخازن وجود دارند که می توان کدهای مخرب را تا سال 2015 ردیابی کرد.
منبع: opennet.ru