GitHub avslöjade aktivitet i massskapandet av gafflar och kloner av populära projekt, med införandet av skadliga ändringar i kopiorna, inklusive en bakdörr. En sökning efter värdnamnet (ovz1.j19544519.pr46m.vps.myjino.ru), som nås från skadlig kod, visade närvaron av mer än 35 tusen ändringar i GitHub, närvarande i kloner och gafflar i olika förråd, inklusive gafflar av krypto, golang, python, js, bash, docker och k8s.
Attacken syftar till att användaren inte kommer att spåra originalet och kommer att använda kod från en gaffel eller klon med ett något annat namn istället för huvudprojektets arkiv. För närvarande har GitHub redan tagit bort de flesta gafflarna med skadlig insättning. Användare som kommer till GitHub från sökmotorer rekommenderas att noggrant kontrollera förvarets förhållande till huvudprojektet innan de använder kod från det.
Den tillagda skadliga koden skickade innehållet i miljövariabler till en extern server i syfte att stjäla tokens för AWS och kontinuerliga integrationssystem. Dessutom integrerades en bakdörr i koden som körde shell-kommandon som returnerades efter att ha skickat en begäran till server angripare. De flesta av de skadliga ändringarna lades till för mellan 6 och 20 dagar sedan, men det finns vissa arkiv där skadlig kod kan spåras tillbaka till 2015.
Källa: opennet.ru
