GitHub odhalil aktivitu v masovom vytváraní forkov a klonov populárnych projektov so zavedením škodlivých zmien do kópií vrátane zadných vrátok. Hľadanie názvu hostiteľa (ovz1.j19544519.pr46m.vps.myjino.ru), ku ktorému sa pristupuje zo škodlivého kódu, ukázalo prítomnosť viac ako 35 8 zmien v GitHub, prítomných v klonoch a forkoch rôznych úložísk, vrátane forkov. krypto, golang, python, js, bash, docker a kXNUMXs.
Útok je zameraný na to, že používateľ nebude sledovať originál a namiesto hlavného úložiska projektu použije kód z forku alebo klonu s trochu iným názvom. V súčasnosti GitHub už odstránil väčšinu forkov so škodlivým vložením. Používateľom, ktorí prichádzajú na GitHub z vyhľadávacích nástrojov, sa odporúča, aby pred použitím kódu z úložiska dôkladne skontrolovali vzťah úložiska k hlavnému projektu.
Pridaný škodlivý kód odoslal obsah premenných prostredia na externý server s úmyslom ukradnúť tokeny AWS a systémom nepretržitej integrácie. Okrem toho boli do kódu integrované zadné vrátka, ktoré spúšťali príkazy shellu vrátené po odoslaní požiadavky na server útočníkov. Väčšina škodlivých zmien bola pridaná pred 6 až 20 dňami, existujú však niektoré úložiská, kde je možné vysledovať škodlivý kód až do roku 2015.
Zdroj: opennet.ru