GitHub revelou actividade na creación masiva de forks e clons de proxectos populares, coa introdución de cambios maliciosos nas copias, incluíndo unha porta traseira. Unha busca do nome de host (ovz1.j19544519.pr46m.vps.myjino.ru), ao que se accede desde código malicioso, mostrou a presenza de máis de 35 mil cambios en GitHub, presentes en clons e forks de varios repositorios, incluíndo forks. de crypto, golang, python, js, bash, docker e k8s.
O ataque ten como obxectivo o feito de que o usuario non rastrexará o orixinal e usará código dun fork ou clon cun nome lixeiramente diferente en lugar do repositorio principal do proxecto. Actualmente, GitHub xa eliminou a maioría dos forks con inserción maliciosa. Recoméndase aos usuarios que cheguen a GitHub desde os buscadores que verifiquen coidadosamente a relación do repositorio co proxecto principal antes de usar o código deste.
O código malicioso engadido enviou o contido das variables de ambiente a un servidor externo coa intención de roubar tokens a AWS e sistemas de integración continua. Ademais, integrouse no código unha porta traseira, lanzando comandos de shell devoltos despois de enviar unha solicitude ao servidor dos atacantes. A maioría dos cambios maliciosos foron engadidos hai entre 6 e 20 días, pero hai algúns repositorios nos que se pode rastrexar código malicioso ata 2015.
Fonte: opennet.ru