Разработчик Стивен Лейси обнаружил, по его словам, 35 тысяч проектов на GitHub, которые были клонированы, а в их копии внедрён вредоносный код для атак на ничего не подозревающих пользователей сервиса. GitHub удалил большинство опасных репозиториев после того, как с командой связался Лейси.
Разработчик Стивен Лейси обнаружил, по его словам, 35 тысяч проектов на GitHub, которые были клонированы, а в их копии внедрён вредоносный код для атак на ничего не подозревающих пользователей сервиса. GitHub удалил большинство опасных репозиториев после того, как с командой связался Лейси.
I am uncovering what seems to be a massive widespread malware attack on @github.
— Stephen Lacy (@stephenlacy) August 3, 2022
— Currently over 35k repositories are infected
— So far found in projects including: crypto, golang, python, js, bash, docker, k8s
— It is added to npm scripts, docker images and install docs pic.twitter.com/rq3CBDw3r9
Оригинальные репозитории никак скомпрометированы не были. Среди них такие известные проекты, как crypto, golang, python, js, bash, docker, k8s и другие. Однако в их копии был добавлен бэкдор для распространения вредоносного ПО.
Через поисковик Google Лейси нашёл один опенсорсный проект, в коде которого заметил веб-адрес hxxp://ovz1.j19544519.pr46m.vps.myjino[.]ru, и поделился находкой в Twitter. Поиск на GitHub выдал более 35 тысяч файлов, содержащих зловредный URL. То есть, отмечает Bleeping Computer, эта цифра показывает число подозрительных файлов, а не опасных репозиториев — позже Лейси поправил себя.
Из 35 788 результатов более 13 тысяч принадлежали одному репозиторию — redhat-operator-ecosystem, и судя по всему, на GitHub его больше нет.
Другие эксперты выяснили, что клонированные репозитории с вредоносным URL-адресом извлекали переменные среды пользователя и были снабжены однострочным бэкдором. Хакеры таким образом могли похищать важные секреты, включая ключи API, токены, учётные данные от Amazon AWS и криптографические ключи жертв, а также удалённо выполнять произвольный код в заражённых системах.
Что касается тайминга, в большинство клонированных репозиториев вредоносный код был добавлен в июле — от 6 до 20 дней назад. Но Bleeping Computer попались репозитории, в которых он появился ещё в 2015 году.
Вчера GitHub отчитался по проблеме. Опасные репозитории-клоны с платформы удалены.
GitHub is investigating the Tweet published Wed, Aug. 3, 2022:
— GitHub Security (@GitHubSecurity) August 3, 2022
* No repositories were compromised
* Malicious code was posted to cloned repositories, not the repositories themselves
* The clones were quarantined and there was no evident compromise of GitHub or maintainer accounts
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.