GitHub heeft activiteit geïdentificeerd in de massale creatie van forks en klonen van populaire projecten, met de introductie van kwaadaardige wijzigingen in kopieën, waaronder een achterdeur. Een zoekopdracht op hostnaam (ovz1.j19544519.pr46m.vps.myjino.ru), die toegankelijk is via de kwaadaardige code, toonde meer dan 35 duizend wijzigingen in GitHub, aanwezig in klonen en vorken van verschillende opslagplaatsen, waaronder vorken van crypto, golang, python, js, bash, docker en k8s.
De aanval is erop gericht dat de gebruiker het origineel niet zal volgen en de code van een fork of kloon met een iets andere naam zal gebruiken in plaats van de hoofdprojectrepository. Momenteel heeft GitHub de meeste vorken al verwijderd met kwaadaardige invoeging. Gebruikers die via zoekmachines naar GitHub komen, wordt geadviseerd om de link van de repository naar het hoofdproject zorgvuldig te controleren voordat ze de code ervan gebruiken.
De toegevoegde kwaadaardige code stuurde de inhoud van omgevingsvariabelen naar een externe server met de verwachting tokens te stelen naar AWS en continue integratiesystemen. Bovendien was er een backdoor geïntegreerd in de code die shell-commando's uitvoert die worden geretourneerd na het verzenden van een verzoek naar de server van de aanvaller. De meeste kwaadaardige wijzigingen zijn tussen 6 en 20 dagen geleden toegevoegd, maar er zijn aparte opslagplaatsen waar schadelijke code sinds 2015 is opgespoord.
Bron: opennet.ru