У GitHub виявили активність масового створення форків і клонів популярних проектів, з впровадженням у копії шкідливих змін, що включають бекдор. Пошук на ім'я хоста (ovz1.j19544519.pr46m.vps.myjino.ru), до якого здійснюється звернення зі шкідливого коду, показав наявність у GitHub більше 35 тисяч змін, присутніх у клонах і форках різних репозиторіїв, включаючи форки проектів crypto, golang, python, js, bash, docker та k8s.
Атака націлена на те, що користувач не стане відстежувати оригінал і скористається замість репозиторію основного проекту кодом з форка або клону з ім'ям, що трохи відрізняється. В даний час GitHub вже видалив більшу частину форків зі шкідливою вставкою. Користувачам, які приходять на GitHub з пошукових систем, рекомендується уважно перевіряти зв'язок репозиторію з основним проектом перед використанням коду з нього.
Шкідливий код, що додається, відправляв вміст змінних оточення на зовнішній сервер з розрахунком на крадіжку токенів до AWS і систем безперервної інтеграції. Крім того, код інтегрувався бекдор, що запускає shell-команди, повернені після відправки запиту до сервера зловмисників. Більшість шкідливих змін було додано від 6 до 20 днів тому, але є окремі репозиторії, в яких шкідливий код простежується з 2015 року.
Джерело: opennet.ru