GitHub mengungkapkan aktivitas dalam pembuatan massal fork dan klon proyek populer, dengan pengenalan perubahan berbahaya ke dalam salinannya, termasuk pintu belakang. Pencarian nama host (ovz1.j19544519.pr46m.vps.myjino.ru), yang diakses dari kode berbahaya, menunjukkan adanya lebih dari 35 ribu perubahan di GitHub, hadir dalam klon dan fork dari berbagai repositori, termasuk fork dari crypto, golang, python, js, bash, docker dan k8s.
Serangan ini ditujukan agar pengguna tidak melacak yang asli dan akan menggunakan kode dari fork atau klon dengan nama yang sedikit berbeda daripada repositori proyek utama. Saat ini, GitHub telah menghapus sebagian besar fork dengan penyisipan berbahaya. Pengguna yang datang ke GitHub dari mesin pencari disarankan untuk memeriksa dengan cermat hubungan repositori dengan proyek utama sebelum menggunakan kode darinya.
Kode berbahaya yang ditambahkan mengirimkan konten variabel lingkungan ke server eksternal dengan tujuan mencuri token ke AWS dan sistem integrasi berkelanjutan. Selain itu, pintu belakang diintegrasikan ke dalam kode, meluncurkan perintah shell yang dikembalikan setelah mengirimkan permintaan ke server penyerang. Sebagian besar perubahan berbahaya ditambahkan antara 6 dan 20 hari yang lalu, namun ada beberapa repositori di mana kode berbahaya dapat ditelusuri kembali ke tahun 2015.
Sumber: opennet.ru