„GitHub“ atskleidė aktyvumą kuriant populiarių projektų šakutes ir klonus, kopijose įvedant kenkėjiškų pakeitimų, įskaitant užpakalines duris. Paieška pagrindinio kompiuterio vardo (ovz1.j19544519.pr46m.vps.myjino.ru), kuris pasiekiamas iš kenkėjiško kodo, parodė, kad GitHub yra daugiau nei 35 tūkstančiai pakeitimų, esančių įvairių saugyklų, įskaitant šakutes, klonuose ir šakutėse. kriptovaliutų, golango, python, js, bash, docker ir k8s.
Ataka nukreipta į tai, kad vartotojas nesektų originalo ir vietoj pagrindinės projekto saugyklos naudotų kodą iš šakutės ar klono šiek tiek kitokiu pavadinimu. Šiuo metu „GitHub“ jau pašalino daugumą šakių su kenkėjišku įterpimu. Naudotojams, ateinantiems į „GitHub“ iš paieškos sistemų, prieš naudojant kodą iš jo patariama atidžiai patikrinti saugyklos ryšį su pagrindiniu projektu.
Pridėtas kenkėjiškas kodas nusiuntė aplinkos kintamųjų turinį į išorinį serverį, siekdamas pavogti žetonus į AWS ir nuolatinio integravimo sistemas. Be to, į kodą buvo integruotos užpakalinės durys, paleidžiančios apvalkalo komandas, grąžintas nusiuntus užklausą į užpuolikų serverį. Dauguma kenkėjiškų pakeitimų buvo įtraukti prieš 6–20 dienų, tačiau yra keletas saugyklų, kuriose kenkėjišką kodą galima atsekti iki 2015 m.
Šaltinis: opennet.ru