GitHub avslørte aktivitet i masseoppretting av gafler og kloner av populære prosjekter, med introduksjonen av ondsinnede endringer i kopiene, inkludert en bakdør. Et søk etter vertsnavnet (ovz1.j19544519.pr46m.vps.myjino.ru), som er tilgjengelig fra ondsinnet kode, viste tilstedeværelsen av mer enn 35 tusen endringer i GitHub, tilstede i kloner og gafler i forskjellige depoter, inkludert gafler av krypto, golang, python, js, bash, docker og k8s.
Angrepet er rettet mot det faktum at brukeren ikke vil spore originalen og vil bruke kode fra en gaffel eller klone med et litt annet navn i stedet for hovedprosjektdepotet. For øyeblikket har GitHub allerede fjernet de fleste gaflene med ondsinnet innsetting. Brukere som kommer til GitHub fra søkemotorer, anbefales å nøye sjekke depotets forhold til hovedprosjektet før de bruker kode fra det.
Den tilførte ondsinnede koden sendte innholdet av miljøvariabler til en ekstern server med den hensikt å stjele tokens til AWS og kontinuerlige integrasjonssystemer. I tillegg ble en bakdør integrert i koden, lansering av skallkommandoer returnert etter å ha sendt en forespørsel til angripernes server. De fleste av de ondsinnede endringene ble lagt til for mellom 6 og 20 dager siden, men det er noen depoter der ondsinnet kode kan spores tilbake til 2015.
Kilde: opennet.ru