Tinukoy ng GitHub ang aktibidad sa malawakang paglikha ng mga tinidor at clone ng mga sikat na proyekto, kasama ang pagpapakilala ng mga nakakahamak na pagbabago sa mga kopya, kabilang ang isang backdoor. Ang isang paghahanap sa pamamagitan ng pangalan ng host (ovz1.j19544519.pr46m.vps.myjino.ru), na na-access mula sa malisyosong code, ay nagpakita ng higit sa 35 libong mga pagbabago sa GitHub, na naroroon sa mga clone at tinidor ng iba't ibang mga repository, kabilang ang mga tinidor ng crypto, golang, python, js, bash, docker at k8s.
Ang pag-atake ay naglalayong sa katotohanan na hindi susubaybayan ng user ang orihinal at gagamitin ang code mula sa isang tinidor o clone na may bahagyang naiibang pangalan sa halip na ang pangunahing repositoryo ng proyekto. Sa kasalukuyan, inalis na ng GitHub ang karamihan sa mga tinidor na may nakakahamak na pagpapasok. Ang mga gumagamit na pumupunta sa GitHub mula sa mga search engine ay pinapayuhan na maingat na suriin ang link ng repositoryo sa pangunahing proyekto bago gamitin ang code mula dito.
Ang idinagdag na malisyosong code ay nagpadala ng mga nilalaman ng mga variable ng kapaligiran sa isang panlabas na server na may inaasahang pagnanakaw ng mga token sa AWS at tuluy-tuloy na mga sistema ng pagsasama. Bilang karagdagan, isinama ang isang backdoor sa code na nagpapatakbo ng mga shell command na ibinalik pagkatapos magpadala ng kahilingan sa server ng mga umaatake. Karamihan sa mga nakakahamak na pagbabago ay idinagdag sa pagitan ng 6 at 20 araw ang nakalipas, ngunit may mga hiwalay na repository kung saan na-trace ang nakakahamak na code mula noong 2015.
Pinagmulan: opennet.ru