GitHub avslöjade aktivitet i massskapandet av gafflar och kloner av populära projekt, med införandet av skadliga ändringar i kopiorna, inklusive en bakdörr. En sökning efter värdnamnet (ovz1.j19544519.pr46m.vps.myjino.ru), som nås från skadlig kod, visade närvaron av mer än 35 tusen ändringar i GitHub, närvarande i kloner och gafflar i olika förråd, inklusive gafflar av krypto, golang, python, js, bash, docker och k8s.
Attacken syftar till att användaren inte kommer att spåra originalet och kommer att använda kod från en gaffel eller klon med ett något annat namn istället för huvudprojektets arkiv. För närvarande har GitHub redan tagit bort de flesta gafflarna med skadlig insättning. Användare som kommer till GitHub från sökmotorer rekommenderas att noggrant kontrollera förvarets förhållande till huvudprojektet innan de använder kod från det.
Den tillagda skadliga koden skickade innehållet i miljövariabler till en extern server med avsikten att stjäla tokens till AWS och kontinuerliga integrationssystem. Dessutom integrerades en bakdörr i koden, startande skalkommandon som returnerades efter att ha skickat en förfrågan till angriparnas server. De flesta av de skadliga ändringarna lades till för mellan 6 och 20 dagar sedan, men det finns några arkiv där skadlig kod kan spåras tillbaka till 2015.
Källa: opennet.ru