3 августа разработчик ПО Стивен Лейси заявил, что обнаружил «масштабную атаку вредоносного ПО» на GitHub , затронувшую около 35 000 репозиториев ПО.
Оказалось, что 35 000 проектов на GitHub не были скомпрометированы. Скорее, тысячи проектов с бэкдором являются копиями законных проектов, предположительно созданных злоумышленником для распространения вредоносного ПО. GitHub уже удалил вредоносные клоны со своей платформы.
По словам Лейси, вредонос содержится в официальных проектах crypto, golang, python, js, bash, docker, k8s.
При просмотре открытого проекта инженер заметил URL-адрес в коде: hxxp://ovz1.j19544519.pr46m.vps.myjino[.]ru
При поиске GitHub по этому URL-адресу было найдено более 35 000 файлов, которые содержат вредоносный URL-адрес. Это означает, что 35 000 – количество подозрительных файлов, а не зараженных репозиториев
По словам разработчика Джеймса Такера , клонированные репозитории, содержащие вредоносный URL-адрес, не только извлекают переменные среды пользователя, но и дополнительно содержат однострочный бэкдор.
Эксфильтрация переменных среды может предоставить злоумышленнику API-ключи жертвы, токены, учетные данные Amazon AWS и криптографические ключи.
Более того, всего одна строка в коде (строка 241) позволяет удаленному киберпреступнику выполнять произвольный код в системах тех, кто установил и запустил вредоносные клоны.
Рекомендуется использовать ПО из официальных репозиториев проекта и следить за потенциальными опечатками или клонами репозитория, которые могут казаться идентичными исходному проекту, но скрывать вредоносное ПО.
Клонированные репозитории продолжают сохранять коммиты кода с именами пользователей и email-адресами первоначальных авторов, создавая ложное впечатление, что новые коммиты были сделаны первоначальными авторами проекта. Коммиты с открытым исходным кодом, подписанные GPG-ключами подлинных авторов проекта, являются одним из способов проверки подлинности кода.
Источник: SecurityLab