GitHub atklāja aktivitāti populāru projektu dakšu un klonu masveida veidošanā, kopijās ieviešot ļaunprātīgas izmaiņas, tostarp aizmugures durvis. Meklējot resursdatora nosaukumu (ovz1.j19544519.pr46m.vps.myjino.ru), kuram tiek piekļūts no ļaunprātīga koda, tika konstatēts vairāk nekā 35 tūkstoši izmaiņu GitHub, kas atrodas dažādu krātuvju, tostarp dakšu, klonos un dakšās. kriptogrāfijas, golang, python, js, bash, docker un k8s.
Uzbrukums ir vērsts uz to, lai lietotājs neizsekotu oriģinālam un galvenā projekta krātuves vietā izmantos kodu no dakšas vai klona ar nedaudz atšķirīgu nosaukumu. Pašlaik GitHub jau ir noņēmis lielāko daļu dakšu ar ļaunprātīgu ievietošanu. Lietotājiem, kas ierodas GitHub no meklētājprogrammām, ieteicams rūpīgi pārbaudīt repozitorija saistību ar galveno projektu, pirms tiek izmantots tā kods.
Pievienotais ļaunprātīgais kods nosūtīja vides mainīgo saturu uz ārēju serveri ar nolūku nozagt marķierus AWS un nepārtrauktas integrācijas sistēmām. Turklāt kodā tika integrētas aizmugures durvis, palaižot čaulas komandas, kas tika atgrieztas pēc pieprasījuma nosūtīšanas uzbrucēja serverim. Lielākā daļa ļaunprātīgo izmaiņu tika pievienotas pirms 6 līdz 20 dienām, taču ir dažas krātuves, kurās ļaunprātīgo kodu var izsekot līdz 2015. gadam.
Avots: opennet.ru