GitHub 已經確定了大規模創建流行項目的分支和克隆的活動,並在副本中引入了惡意更改,包括後門。 通過從惡意代碼訪問的主機名 (ovz1.j19544519.pr46m.vps.myjino.ru) 進行搜索,顯示 GitHub 中有超過 35 處更改,存在於各種存儲庫的克隆和分支中,包括 crypto 的分支, golang、python、js、bash、docker 和 k8s。
攻擊的目的是用戶不會跟踪原始代碼,而是使用名稱略有不同的分支或克隆中的代碼,而不是主項目存儲庫。 目前,GitHub 已經移除了大部分惡意插入的 fork。 建議通過搜索引擎訪問 GitHub 的用戶在使用代碼之前仔細檢查存儲庫與主項目的關係。
添加的惡意代碼將環境變量的內容髮送到外部服務器,期望竊取令牌到 AWS 和持續集成系統。 此外,在向攻擊者的服務器發送請求後運行返回的 shell 命令的代碼中還集成了一個後門。 大多數惡意更改是在 6 到 20 天前添加的,但自 2015 年以來一直在單獨的存儲庫中跟踪惡意代碼。
來源: opennet.ru