GitHub, popüler projelerin çatallarının ve klonlarının toplu olarak oluşturulmasında faaliyet olduğunu ve kopyalarda arka kapı da dahil olmak üzere kötü niyetli değişiklikler yapıldığını ortaya çıkardı. Kötü amaçlı koddan erişilen ana bilgisayar adı (ovz1.j19544519.pr46m.vps.myjino.ru) için yapılan arama, GitHub'da çatallar da dahil olmak üzere çeşitli depoların klonlarında ve çatallarında bulunan 35 binden fazla değişikliğin varlığını gösterdi kripto, golang, python, js, bash, docker ve k8s.
Saldırı, kullanıcının orijinali izlememesi ve ana proje deposu yerine biraz farklı bir adla bir çataldan veya klondan gelen kodu kullanması hedefleniyor. Şu anda GitHub, kötü amaçlı ekleme içeren çatalların çoğunu zaten kaldırmıştır. GitHub'a arama motorlarından gelen kullanıcıların, kodu kullanmadan önce havuzun ana projeyle olan ilişkisini dikkatlice kontrol etmeleri önerilir.
Eklenen kötü amaçlı kod, AWS'ye ve sürekli entegrasyon sistemlerine yönelik belirteçleri çalmak amacıyla ortam değişkenlerinin içeriğini harici bir sunucuya gönderdi. Ayrıca koda, saldırganların sunucusuna bir istek gönderildikten sonra geri dönen kabuk komutlarını başlatan bir arka kapı entegre edildi. Kötü amaçlı değişikliklerin çoğu 6 ila 20 gün önce eklendi, ancak kötü amaçlı kodun 2015'e kadar izlenebildiği bazı depolar da var.
Kaynak: opennet.ru