GitHub wykrył aktywność polegającą na masowym tworzeniu forków i klonów popularnych projektów, z wprowadzaniem złośliwych zmian w kopiach, w tym backdoora. Wyszukiwanie według nazwy hosta (ovz1.j19544519.pr46m.vps.myjino.ru), do którego dostęp uzyskuje się ze szkodliwego kodu, wykazało ponad 35 tysięcy zmian w serwisie GitHub, obecnych w klonach i rozwidleniach różnych repozytoriów, w tym forkach kryptograficznych, golang, python, js, bash, docker i k8s.
Atak ma na celu to, że użytkownik nie będzie śledził oryginału i użyje kodu z forka lub klona o nieco innej nazwie zamiast głównego repozytorium projektu. Obecnie GitHub usunął już większość forków ze złośliwym wstawieniem. Użytkownikom przechodzącym na GitHub z wyszukiwarek zaleca się dokładne sprawdzenie relacji repozytorium z głównym projektem przed użyciem kodu z niego.
Dodany szkodliwy kod wysyłał zawartość zmiennych środowiskowych na zewnętrzny serwer w oczekiwaniu na kradzież tokenów do AWS i systemów ciągłej integracji. Ponadto w kodzie, który uruchamia polecenia powłoki zwracane po wysłaniu żądania do serwera atakującego, zintegrowano backdoora. Większość złośliwych zmian została dodana między 6 a 20 dniami temu, ale od 2015 roku istnieją osobne repozytoria, w których śledzono szkodliwy kod.
Źródło: opennet.ru