GitHub mendedahkan aktiviti dalam penciptaan besar-besaran garpu dan klon projek popular, dengan pengenalan perubahan berniat jahat ke dalam salinan, termasuk pintu belakang. Carian untuk nama hos (ovz1.j19544519.pr46m.vps.myjino.ru), yang diakses daripada kod hasad, menunjukkan kehadiran lebih daripada 35 ribu perubahan dalam GitHub, hadir dalam klon dan garpu pelbagai repositori, termasuk garpu daripada crypto, golang, python, js, bash, docker dan k8s.
Serangan itu bertujuan untuk fakta bahawa pengguna tidak akan menjejaki yang asal dan akan menggunakan kod dari garpu atau klon dengan nama yang sedikit berbeza dan bukannya repositori projek utama. Pada masa ini, GitHub telah pun mengalih keluar kebanyakan garpu dengan sisipan berniat jahat. Pengguna yang datang ke GitHub daripada enjin carian dinasihatkan supaya menyemak dengan teliti perhubungan repositori dengan projek utama sebelum menggunakan kod daripadanya.
Kod hasad yang ditambah menghantar kandungan pembolehubah persekitaran ke pelayan luaran dengan niat untuk mencuri token kepada AWS dan sistem penyepaduan berterusan. Di samping itu, pintu belakang telah disepadukan ke dalam kod, melancarkan arahan shell dikembalikan selepas menghantar permintaan kepada pelayan penyerang. Kebanyakan perubahan hasad telah ditambahkan antara 6 dan 20 hari yang lalu, tetapi terdapat beberapa repositori di mana kod hasad boleh dikesan kembali ke 2015.
Sumber: opennet.ru