GitHub ได้ระบุกิจกรรมในการสร้างส้อมและโคลนของโครงการยอดนิยมจำนวนมาก ด้วยการแนะนำการเปลี่ยนแปลงที่เป็นอันตรายในสำเนา รวมถึงแบ็คดอร์ การค้นหาด้วยชื่อโฮสต์ (ovz1.j19544519.pr46m.vps.myjino.ru) ซึ่งเข้าถึงได้จากรหัสที่เป็นอันตราย แสดงให้เห็นการเปลี่ยนแปลงมากกว่า 35 รายการใน GitHub นำเสนอในรูปแบบโคลนและทางแยกของที่เก็บต่างๆ รวมถึงทางแยกของ crypto golang, python, js, bash, docker และ k8s
การโจมตีมุ่งเป้าไปที่ความจริงที่ว่าผู้ใช้จะไม่ติดตามต้นฉบับและจะใช้รหัสจากส้อมหรือโคลนที่มีชื่อแตกต่างกันเล็กน้อยแทนที่เก็บโครงการหลัก ปัจจุบัน GitHub ได้ลบส้อมส่วนใหญ่ที่มีการแทรกที่เป็นอันตรายออกไปแล้ว ผู้ใช้ที่มาจากเสิร์ชเอ็นจิ้นมาที่ GitHub ควรตรวจสอบความสัมพันธ์ของ repository กับโปรเจ็กต์หลักอย่างรอบคอบก่อนที่จะใช้โค้ดจากโปรเจ็กต์นั้น
โค้ดอันตรายที่เพิ่มเข้ามาส่งเนื้อหาของตัวแปรสภาพแวดล้อมไปยังเซิร์ฟเวอร์ภายนอกโดยคาดว่าจะขโมยโทเค็นไปยัง AWS และระบบการผสานรวมอย่างต่อเนื่อง นอกจากนี้ แบ็คดอร์ยังรวมเข้ากับโค้ดที่เรียกใช้คำสั่งเชลล์ที่ส่งคืนหลังจากส่งคำขอไปยังเซิร์ฟเวอร์ของผู้โจมตี การเปลี่ยนแปลงที่เป็นอันตรายส่วนใหญ่ถูกเพิ่มเข้ามาระหว่าง 6 ถึง 20 วันที่ผ่านมา แต่มีที่เก็บแยกต่างหากซึ่งมีการติดตามโค้ดที่เป็นอันตรายตั้งแต่ปี 2015
ที่มา: opennet.ru