«35 тысяч» репозиториев GitHub были клонированы и распространяли малварь
Разработчик Стивен Лейси обнаружил, по его словам, 35 тысяч проектов на GitHub, которые были клонированы, а в их копии внедрён вредоносный код для атак на ничего не подозревающих пользователей сервиса. GitHub удалил большинство опасных репозиториев после того, как с командой связался Лейси.
Оригинальные репозитории никак скомпрометированы не были. Среди них такие известные проекты, как crypto, golang, python, js, bash, docker, k8s и другие. Однако в их копии был добавлен бэкдор для распространения вредоносного ПО.
Через поисковик Google Лейси нашёл один опенсорсный проект, в коде которого заметил веб-адрес hxxp://ovz1.j19544519.pr46m.vps.myjino[.]ru, и поделился находкой в Twitter. Поиск на GitHub выдал более 35 тысяч файлов, содержащих зловредный URL. То есть, отмечает Bleeping Computer, эта цифра показывает число подозрительных файлов, а не опасных репозиториев — позже Лейси поправил себя.
Из 35 788 результатов более 13 тысяч принадлежали одному репозиторию — redhat-operator-ecosystem, и судя по всему, на GitHub его больше нет.
Другие эксперты выяснили, что клонированные репозитории с вредоносным URL-адресом извлекали переменные среды пользователя и были снабжены однострочным бэкдором. Хакеры таким образом могли похищать важные секреты, включая ключи API, токены, учётные данные от Amazon AWS и криптографические ключи жертв, а также удалённо выполнять произвольный код в заражённых системах.
Что касается тайминга, в большинство клонированных репозиториев вредоносный код был добавлен в июле — от 6 до 20 дней назад. Но Bleeping Computer попались репозитории, в которых он появился ещё в 2015 году.
Вчера GitHub отчитался по проблеме. Опасные репозитории-клоны с платформы удалены.
Читать на dev.by