GitHub は、人気プロジェクトのフォークやクローンを大量に作成し、バックドアを含む悪意のある変更をコピーに導入する活動を明らかにしました。悪意のあるコードからアクセスされるホスト名 (ovz1.j19544519.pr46m.vps.myjino.ru) を検索すると、GitHub に 35 件を超える変更が存在し、フォークを含むさまざまなリポジトリのクローンやフォークに存在することがわかりました。 crypto、golang、python、js、bash、docker、k8s など。
この攻撃は、ユーザーがオリジナルを追跡せず、メインのプロジェクト リポジトリの代わりに、わずかに異なる名前を持つフォークまたはクローンのコードを使用することを目的としています。現在、GitHub は悪意のある挿入が行われたフォークのほとんどをすでに削除しています。検索エンジンから GitHub にアクセスするユーザーは、リポジトリのコードを使用する前に、メイン プロジェクトとリポジトリの関係を注意深く確認することをお勧めします。
追加された悪意のあるコードは、AWS および継続的インテグレーション システムへのトークンを盗むことを目的として、環境変数の内容を外部サーバーに送信しました。さらに、コードにはバックドアが組み込まれており、攻撃者のサーバーにリクエストを送信した後に返されるシェル コマンドを起動します。悪意のある変更のほとんどは 6 ~ 20 日前に追加されましたが、悪意のあるコードが 2015 年まで遡ることができるリポジトリもいくつかあります。
出所: オープンネット.ru