Malware Mengkloning Repositori GitHub Untuk Menyerang Pengembang

Beribu-ribu GitHub repositori telah disalin, dan klonnya menyertakan malware, seperti yang dapat diverifikasi oleh insinyur perangkat lunak bernama Stephen Lacy. Dia menghitung ada 35,000 repositori kloning.

Sementara kloning repositori sumber terbuka adalah praktik pengembangan yang umum, dalam hal ini melibatkan pelaku ancaman yang membuat salinan proyek yang sah tetapi mencemari mereka dengan kode jahat untuk menargetkan pengembang yang tidak menaruh curiga dengan klon ini.

GitHub mengatakan telah menghapus sebagian besar repositori jahat setelah menerima laporan para insinyur, meskipun tidak ada angka pasti.

Inilah Penemuannya

Ribuan proyek yang terpengaruh adalah salinan atau tiruan dari proyek sah yang diduga dibuat oleh pelaku ancaman untuk diperkenalkan malware. Ini berarti proyek resmi seperti crypto, golang, python, js, bash, docker, dan k8s tidak terpengaruh, tetapi pengembang dapat menemukan salinannya tanpa mengetahui apa itu.

Insinyur yang membunyikan alarm meninjau proyek sumber terbuka yang telah "ditemukan oleh Lacy di pencarian Google" dan melihat yang berikut ini URL dalam kode yang dia bagikan di Twitter.

Saya mengungkap apa yang tampaknya merupakan serangan malware besar-besaran yang tersebar luas di @subtanyarl.

– Saat ini lebih dari 35k repositori terinfeksi
– Sejauh ini ditemukan dalam proyek termasuk: crypto, golang, python, js, bash, docker, k8s
– Itu ditambahkan ke skrip npm, gambar buruh pelabuhan, dan instal dokumen pic.twitter.com/rq3CBDw3r9

— Stephen Berenda (@stephenlacy) 3 Agustus 2022

Pengembang James Tucker menunjukkan bahwa kloning repositori yang berisi URL berbahaya berisi backdoor satu baris. Ancaman ini dapat memberikan rahasia penting kepada pelaku ancaman seperti kunci API, token, kredensial Amazon AWS, dan kunci kriptografis Anda.