14.08.2022

На GitHub зафиксирована волна форков с вредоносными изменениями

В GitHub выявили активность по массовому созданию форков и клонов популярных проектов, с внедрением в копии вредоносных изменений, включающих бэкдор. Поиск по имени хоста (ovz1.j19544519.pr46m.vps.myjino.ru), к которому осуществляется обращение из вредоносного кода, показал наличие в GitHub более 35 тысяч изменений, присутствующих в клонах и форках различных репозиториев, включая форки проектов crypto, golang, python, js, bash, docker и k8s.

Атака нацелена на то, что пользователь не станет отслеживать оригинал и воспользуется вместо репозитория основного проекта кодом из форка или клона с немного отличающимся именем. В настоящее время GitHub уже удалил большую часть форков с вредоносной вставкой. Пользователям, приходящим на GitHub из поисковых систем, рекомендуется внимательно проверять связь репозитория с основным проектом перед использованием кода из него.

Добавляемый вредоносный код отправлял содержимое переменных окружения на внешний сервер с расчётом на кражу токенов к AWS и системам непрерывной интеграции. Кроме того, в код интегрировался бэкдор, запускающий shell-команды, возвращённые после отправки запроса к серверу злоумышленников. Большинство вредоносных изменений было добавлено от 6 до 20 дней назад, но присутствуют отдельные репозитории, в которых вредоносный код прослеживается с 2015 года.

Источник.