Malware-klonede GitHub-depoter til at angribe udviklere

Tusindvis af GitHub repositories er blevet kopieret, og klonerne indeholder malware, som en softwareingeniør ved navn Stephen Lacy har været i stand til at verificere. Han beregner, at der er 35,000 klonede depoter.

Mens kloning af open source-depoter er en almindelig udviklingspraksis, involverer det i dette tilfælde trusselsaktører, der skaber kopier af legitime projekter, men kontaminerer dem med ondsindet kode for at målrette intetanende udviklere med disse kloner.

GitHub har sagt, at det allerede har fjernet de fleste af de ondsindede depoter efter at have modtaget ingeniørernes rapport, selvom der ikke er noget konkret tal.

Dette var Opdagelsen

De tusindvis af berørte projekter er kopier eller kloner af legitime projekter, der angiveligt er skabt af trusselsaktører om at indføre malware. Det betyder, at officielle projekter som crypto, golang, python, js, bash, docker og k8s ikke er blevet påvirket, men en udvikler kan støde på en kopi uden at vide, hvad det er.

Ingeniøren, der slog alarm, gennemgik et open source-projekt, som Lacy havde "fundet på en Google-søgning" og så følgende URL i den kode, hun delte på Twitter.

Jeg er ved at afdække, hvad der ser ud til at være et massivt udbredt malwareangreb på @github.

– I øjeblikket er over 35 depoter inficeret
– Indtil videre fundet i projekter, herunder: crypto, golang, python, js, bash, docker, k8s
– Det føjes til npm-scripts, docker-billeder og installationsdokumenter pic.twitter.com/rq3CBDw3r9

— Stephen Lacy (@stephenlacy) August 3, 2022

Udvikler James Tucker påpegede, at de klonede depoter, der indeholdt den ondsindede URL, indeholdt en en-linje bagdør. Disse trusler kan give trusselsaktører vigtige hemmeligheder såsom dine API-nøgler, tokens, Amazon AWS-legitimationsoplysninger og kryptografiske nøgler.