3 августа разработчик ПО Стивен Лейси заявил, что обнаружил «масштабную атаку вредоносного ПО» на GitHub, затронувшую около 35 000 репозиториев ПО.
Оказалось, что 35 000 проектов на GitHub не были скомпрометированы. Скорее, тысячи проектов с бэкдором являются копиями законных проектов, предположительно созданных злоумышленником для распространения вредоносного ПО. GitHub уже удалил вредоносные клоны со своей платформы.
По словам Лейси, вредонос содержится в официальных проектах crypto, golang, python, js, bash, docker, k8s.
При поиске GitHub по этому URL-адресу было найдено более 35 000 файлов, которые содержат вредоносный URL-адрес. Это означает, что 35 000 – количество подозрительных файлов, а не зараженных репозиториев
По словам разработчика Джеймса Такера, клонированные репозитории, содержащие вредоносный URL-адрес, не только извлекают переменные среды пользователя, но и дополнительно содержат однострочный бэкдор.
Эксфильтрация переменных среды может предоставить злоумышленнику API-ключи жертвы, токены, учетные данные Amazon AWS и криптографические ключи.
Более того, всего одна строка в коде (строка 241) позволяет удаленному киберпреступнику выполнять произвольный код в системах тех, кто установил и запустил вредоносные клоны.
Рекомендуется использовать ПО из официальных репозиториев проекта и следить за потенциальными опечатками или клонами репозитория, которые могут казаться идентичными исходному проекту, но скрывать вредоносное ПО.
Клонированные репозитории продолжают сохранять коммиты кода с именами пользователей и email-адресами первоначальных авторов, создавая ложное впечатление, что новые коммиты были сделаны первоначальными авторами проекта. Коммиты с открытым исходным кодом, подписанные GPG-ключами подлинных авторов проекта, являются одним из способов проверки подлинности кода.