GitHub tiết lộ hoạt động tạo ra hàng loạt các bản sao và bản sao của các dự án phổ biến, với việc đưa các thay đổi độc hại vào các bản sao, bao gồm cả một cửa hậu. Việc tìm kiếm tên máy chủ (ovz1.j19544519.pr46m.vps.myjino.ru), được truy cập từ mã độc, cho thấy sự hiện diện của hơn 35 nghìn thay đổi trong GitHub, hiện diện trong các bản sao và nhánh của nhiều kho lưu trữ khác nhau, bao gồm cả nhánh của crypto, golang, python, js, bash, docker và k8s.
Cuộc tấn công nhằm mục đích là người dùng sẽ không theo dõi bản gốc và sẽ sử dụng mã từ một nhánh hoặc bản sao có tên hơi khác thay vì kho lưu trữ dự án chính. Hiện tại, GitHub đã loại bỏ hầu hết các nhánh có phần chèn độc hại. Người dùng truy cập GitHub từ các công cụ tìm kiếm nên kiểm tra cẩn thận mối quan hệ của kho lưu trữ với dự án chính trước khi sử dụng mã từ nó.
Mã độc được thêm vào đã gửi nội dung của các biến môi trường đến máy chủ bên ngoài với mục đích đánh cắp mã thông báo tới AWS và các hệ thống tích hợp liên tục. Ngoài ra, một cửa hậu đã được tích hợp vào mã, khởi chạy các lệnh shell được trả về sau khi gửi yêu cầu đến máy chủ của kẻ tấn công. Hầu hết các thay đổi độc hại đã được thêm vào từ 6 đến 20 ngày trước, nhưng có một số kho lưu trữ mà mã độc có thể được truy nguyên từ năm 2015.
Nguồn: opennet.ru