Pahavara kloonitud GitHubi hoidlad, et rünnata arendajaid

Tuhanded GitHub hoidlaid on kopeeritud ja kloonid sisaldavad pahavara, nagu Stephen Lacy nimeline tarkvarainsener on suutnud kontrollida. Ta arvutab, et kloonitud hoidlaid on 35,000 XNUMX.

Kuigi avatud lähtekoodiga hoidlate kloonimine on levinud arenduspraktika, hõlmab see antud juhul ohus osalejaid, kes loovad seaduslike projektide koopiaid, kuid saastavad need pahatahtliku koodiga, et sihikule võtta nende kloonidega pahaaimamatuid arendajaid.

GitHub on öelnud, et on pärast inseneride aruande saamist enamiku pahatahtlike hoidlate eemaldanud, kuigi konkreetset numbrit pole.

See oli avastus

Tuhanded mõjutatud projektid on seaduslike projektide koopiad või kloonid, mille on väidetavalt loonud ohus osalejad. pahavara. See tähendab, et ametlikke projekte, nagu krüpto, golang, python, js, bash, docker ja k8s, see ei mõjuta, kuid arendaja võib koopiale sattuda, teadmata, mis see on.

Häire tekitanud insener vaatas üle avatud lähtekoodiga projekti, mille Lacy oli Google'i otsingust leidnud, ja nägi järgmist URL koodis, mida ta Twitteris jagas.

Avastan selle, mis näib olevat massiline laialt levinud pahavara rünnak @github.

– Praegu on nakatunud üle 35 XNUMX hoidla
- Siiani leitud projektides, sealhulgas: krüpto, golang, python, js, bash, docker, k8s
- See lisatakse npm-skriptidele, dokkimispiltidele ja installidokumentidele pic.twitter.com/rq3CBDw3r9

- Stephen Lacy (@stephenlacy) August 3, 2022

Arendaja James Tucker juhtis tähelepanu sellele, et pahatahtlikku URL-i sisaldavad kloonitud hoidlad sisaldasid üherealist tagaust. Need ohud võivad anda ohus osalejatele olulisi saladusi, nagu teie API-võtmed, märgid, Amazon AWS-i mandaadid ja krüptovõtmed.