GitHub a détecté des duplications massives et des activités de clonage de projets populaires, injectant des modifications malveillantes dans les copies, notamment une porte dérobée. Une recherche du nom d'hÎte (ovz1.j19544519.pr46m.vps.myjino.ru) auquel le code malveillant a accédé a révélé plus de 35 000 modifications dans GitHub, présentes dans des clones et des duplications de divers dépÎts, notamment des duplications de projets crypto, golang, python, js, bash, docker et k8s.
L'attaque vise à inciter les utilisateurs à ignorer l'original et à utiliser du code provenant d'un fork ou d'un clone portant un nom légÚrement différent, plutÎt que celui du dépÎt du projet principal. GitHub a déjà supprimé la plupart des forks contenant l'injection malveillante. Il est conseillé aux utilisateurs accédant à GitHub depuis les moteurs de recherche de vérifier attentivement la relation entre le dépÎt et le projet principal avant d'utiliser du code issu de celui-ci.
Le code malveillant ajoutĂ© envoyait le contenu des variables d'environnement Ă un systĂšme externe. serveur Conçu pour voler des jetons d'accĂšs Ă AWS et aux systĂšmes d'intĂ©gration continue. De plus, une porte dĂ©robĂ©e Ă©tait intĂ©grĂ©e au code, exĂ©cutant les commandes shell renvoyĂ©es aprĂšs l'envoi d'une requĂȘte. serveur Des attaquants. La plupart des modifications malveillantes ont Ă©tĂ© ajoutĂ©es il y a entre 6 et 20 jours, mais certains dĂ©pĂŽts contiennent du code malveillant remontant Ă 2015.
Source: opennet.ru
