GitHub je otkrio aktivnost u masovnom stvaranju forkova i klonova popularnih projekata, uz uvođenje zlonamjernih promjena u kopije, uključujući backdoor. Pretraživanje imena hosta (ovz1.j19544519.pr46m.vps.myjino.ru), kojem se pristupa iz zlonamjernog koda, pokazalo je prisutnost više od 35 tisuća promjena u GitHubu, prisutnih u klonovima i forkovima raznih repozitorija, uključujući forkove kripto, golang, python, js, bash, docker i k8s.
Napad je usmjeren na činjenicu da korisnik neće pratiti original i da će koristiti kod iz forka ili klona s nešto drugačijim imenom umjesto glavnog repozitorija projekta. Trenutačno je GitHub već uklonio većinu forkova sa zlonamjernim umetanjem. Korisnicima koji dolaze na GitHub s tražilica savjetuje se da pažljivo provjere odnos repozitorija s glavnim projektom prije korištenja koda iz njega.
Dodani zlonamjerni kod poslao je sadržaj varijabli okoline vanjskom poslužitelju s namjerom krađe tokena AWS-u i sustavima kontinuirane integracije. Osim toga, backdoor je integriran u kod, pokretanje naredbi ljuske vraćenih nakon slanja zahtjeva poslužitelju napadača. Većina zlonamjernih promjena dodana je prije 6 do 20 dana, ali postoje neka spremišta u kojima se zlonamjerni kod može pratiti do 2015. godine.
Izvor: opennet.ru