GitHub leiddi í ljós virkni í fjöldasköpun á gafflum og klónum vinsælra verkefna, með tilkomu illgjarnra breytinga á afritunum, þar á meðal bakdyrum. Leit að hýsilnafninu (ovz1.j19544519.pr46m.vps.myjino.ru), sem er aðgengilegt úr skaðlegum kóða, sýndi tilvist meira en 35 þúsund breytinga á GitHub, til staðar í klónum og gafflum ýmissa geyma, þar á meðal gaffla. af crypto, golang, python, js, bash, docker og k8s.
Árásin beinist að þeirri staðreynd að notandinn mun ekki rekja frumritið og mun nota kóða frá gaffli eða klóni með aðeins öðru nafni í stað aðalverkefnageymslunnar. Eins og er hefur GitHub þegar fjarlægt flesta gafflana með illgjarnri innsetningu. Notendum sem koma til GitHub frá leitarvélum er bent á að athuga vandlega tengsl geymslunnar við aðalverkefnið áður en þeir nota kóða úr því.
Skaðlegur kóði sem bætt var við sendi innihald umhverfisbreyta til ytri netþjóns með það fyrir augum að stela táknum til AWS og samfelldra samþættingarkerfa. Að auki var bakdyr samþætt í kóðann, ræst skel skipanir sem skilað var eftir að beiðni var send á netþjón árásarmannsins. Flestum skaðlegum breytingum var bætt við á milli 6 og 20 dögum síðan, en það eru nokkrar geymslur þar sem illgjarn kóða má rekja aftur til ársins 2015.
Heimild: opennet.ru