A GitHub felfedte a népszerű projektek villáinak és klónjainak tömeges létrehozását, rosszindulatú változtatások bevezetésével, beleértve a hátsó ajtót is. A rosszindulatú kódból elért gazdagépnév (ovz1.j19544519.pr46m.vps.myjino.ru) keresése több mint 35 ezer változást mutatott ki a GitHubon, amelyek különböző adattárak klónjaiban és forkjaiban vannak jelen, beleértve a fork-okat is. crypto, golang, python, js, bash, docker és k8s.
A támadás arra irányul, hogy a felhasználó ne kövesse nyomon az eredetit, és a fő projekt tárhelye helyett egy kicsit más nevű elágazásból vagy klónból származó kódot használjon. Jelenleg a GitHub már eltávolította a rosszindulatú beillesztéssel ellátott villák nagy részét. A GitHubra keresőmotorokból érkező felhasználóknak azt tanácsoljuk, hogy gondosan ellenőrizzék a tárház és a fő projekt kapcsolatát, mielőtt kódot használnának.
A hozzáadott rosszindulatú kód a környezeti változók tartalmát egy külső szerverre küldte azzal a szándékkal, hogy tokeneket lopjon az AWS-hez és a folyamatos integrációs rendszerekhez. Ezenkívül egy hátsó ajtót integráltak a kódba, amely elindítja a shell parancsokat, amelyeket a támadók szerverének küldött kérés után kaptak vissza. A legtöbb rosszindulatú módosítás 6 és 20 napja között történt, de vannak olyan adattárak, ahol a rosszindulatú kód 2015-ig visszavezethető.
Forrás: opennet.ru