GitHub 已经确定了大规模创建流行项目的分支和克隆的活动,并在副本中引入了恶意更改,包括后门。 通过从恶意代码访问的主机名 (ovz1.j19544519.pr46m.vps.myjino.ru) 进行搜索,显示 GitHub 中有超过 35 处更改,存在于各种存储库的克隆和分支中,包括 crypto 的分支, golang、python、js、bash、docker 和 k8s。
攻击的目的是用户不会跟踪原始代码,而是使用名称略有不同的分支或克隆中的代码,而不是主项目存储库。 目前,GitHub 已经移除了大部分恶意插入的 fork。 建议通过搜索引擎访问 GitHub 的用户在使用代码之前仔细检查存储库与主项目的关系。
添加的恶意代码将环境变量的内容发送到外部服务器,以期窃取 AWS 和持续集成系统的令牌。 此外,在向攻击者的服务器发送请求后运行返回的 shell 命令的代码中还集成了一个后门。 大部分恶意更改是在 6 到 20 天前添加的,但自 2015 年以来一直在单独的存储库中跟踪恶意代码。
来源: opennet.ru