O GitHub revelou atividade na criação em massa de forks e clones de projetos populares, com a introdução de alterações maliciosas nas cópias, incluindo um backdoor. Uma busca pelo nome do host (ovz1.j19544519.pr46m.vps.myjino.ru), que é acessado a partir de código malicioso, mostrou a presença de mais de 35 mil alterações no GitHub, presentes em clones e forks de diversos repositórios, incluindo forks de criptografia, golang, python, js, bash, docker e k8s.
O ataque visa fazer com que o usuário não rastreie o original e use o código de um fork ou clone com um nome ligeiramente diferente em vez do repositório principal do projeto. Atualmente, o GitHub já removeu grande parte dos forks com inserção maliciosa. Os usuários que acessam o GitHub a partir de mecanismos de pesquisa são aconselhados a verificar cuidadosamente o relacionamento do repositório com o projeto principal antes de usar o código dele.
O código malicioso adicionado enviou o conteúdo das variáveis de ambiente para um servidor externo com a intenção de roubar tokens para AWS e sistemas de integração contínua. Além disso, um backdoor foi integrado ao código, lançando comandos shell retornados após o envio de uma solicitação ao servidor do invasor. A maioria das alterações maliciosas foram adicionadas entre 6 e 20 dias atrás, mas existem alguns repositórios onde o código malicioso pode ser rastreado até 2015.
Fonte: opennet.ru