GitHub paljasti aktiivisuutta suosittujen projektien haarukoiden ja kloonien massaluonnissa, kun kopioihin tehtiin haitallisia muutoksia, mukaan lukien takaoven. Hakukoneen nimi (ovz1.j19544519.pr46m.vps.myjino.ru), johon haetaan haitallista koodia, osoitti GitHubissa yli 35 8 muutosta, jotka ovat läsnä eri arkiston klooneissa ja haarukoissa, mukaan lukien haarukat. krypto, golang, python, js, bash, docker ja kXNUMXs.
Hyökkäys kohdistuu siihen, että käyttäjä ei seuraa alkuperäistä ja käyttää koodia haarukasta tai kloonista jolla on hieman eri nimi pääprojektin arkiston sijaan. Tällä hetkellä GitHub on jo poistanut suurimman osan haarukoista, joissa on haitallinen lisäys. Käyttäjiä, jotka tulevat GitHubiin hakukoneista, kehotetaan tarkistamaan huolellisesti arkiston suhde pääprojektiin ennen sen koodin käyttämistä.
Lisätty haittakoodi lähetti ympäristömuuttujien sisällön ulkoiselle palvelimelle tarkoituksenaan varastaa tunnuksia AWS:ään ja jatkuvaan integrointijärjestelmiin. Lisäksi koodiin integroitiin takaovi, joka käynnistää komentotulkkikomennot, jotka palautettiin pyynnön lähettämisen jälkeen hyökkääjien palvelimelle. Suurin osa haitallisista muutoksista on lisätty 6–20 päivää sitten, mutta on joitakin tietovarastoja, joista haitallinen koodi voidaan jäljittää vuoteen 2015 asti.
Lähde: opennet.ru