GitHub ha identificato attività nella creazione di massa di fork e cloni di progetti popolari, con l'introduzione di modifiche dannose nelle copie, inclusa una backdoor. Una ricerca per nome host (ovz1.j19544519.pr46m.vps.myjino.ru), a cui si accede dal codice malevolo, ha mostrato più di 35mila modifiche in GitHub, presenti in cloni e fork di vari repository, inclusi fork di crypto, golang, python, js, bash, docker e k8s.
L'attacco è mirato al fatto che l'utente non traccerà l'originale e utilizzerà il codice da un fork o un clone con un nome leggermente diverso invece del repository principale del progetto. Attualmente, GitHub ha già rimosso la maggior parte dei fork con inserimento dannoso. Si consiglia agli utenti che arrivano a GitHub dai motori di ricerca di controllare attentamente il collegamento del repository al progetto principale prima di utilizzare il codice da esso.
Il codice dannoso aggiunto ha inviato il contenuto delle variabili di ambiente a un server esterno con l'aspettativa di rubare token ad AWS e ai sistemi di integrazione continua. Inoltre, nel codice che esegue i comandi shell restituiti dopo aver inviato una richiesta al server dell'attaccante è stata integrata una backdoor. La maggior parte delle modifiche dannose è stata aggiunta tra 6 e 20 giorni fa, ma esistono repository separati in cui il codice dannoso è stato rintracciato dal 2015.
Fonte: opennet.ru