GitHub a révélé une activité de création massive de forks et de clones de projets populaires, avec l'introduction de modifications malveillantes dans les copies, y compris une porte dérobée. Une recherche du nom d'hôte (ovz1.j19544519.pr46m.vps.myjino.ru), accessible à partir d'un code malveillant, a montré la présence de plus de 35 8 modifications dans GitHub, présentes dans les clones et les forks de divers référentiels, y compris les forks. de crypto, golang, python, js, bash, docker et kXNUMXs.
L'attaque vise le fait que l'utilisateur ne suivra pas l'original et utilisera le code d'un fork ou d'un clone avec un nom légèrement différent au lieu du référentiel principal du projet. Actuellement, GitHub a déjà supprimé la plupart des forks avec insertion malveillante. Il est conseillé aux utilisateurs accédant à GitHub à partir des moteurs de recherche de vérifier soigneusement la relation du référentiel avec le projet principal avant d'utiliser le code de celui-ci.
Le code malveillant ajouté envoyait le contenu des variables d'environnement à un serveur externe dans le but de voler des jetons à AWS et aux systèmes d'intégration continue. De plus, une porte dérobée a été intégrée au code, lançant des commandes shell renvoyées après l’envoi d’une requête au serveur des attaquants. La plupart des modifications malveillantes ont été ajoutées il y a 6 à 20 jours, mais il existe certains référentiels dans lesquels le code malveillant peut remonter à 2015.
Source: opennet.ru