אלפי GitHub מאגרים הועתקו, והשיבוטים כוללים תוכנות זדוניות, כפי שהצליח לאמת מהנדס תוכנה בשם Stephen Lacy. הוא מחשב שיש 35,000 מאגרים משובטים.
בעוד ששיבוט מאגרי קוד פתוח הוא פרקטיקת פיתוח נפוצה, במקרה זה, זה כרוך בשחקני איום שיוצרים עותקים של פרויקטים לגיטימיים אך מזהמים אותם בקוד זדוני כדי למקד מפתחים תמימים עם שיבוטים אלה.
GitHub אמרה שהיא כבר הסירה את רוב המאגרים הזדוניים לאחר קבלת דוח המהנדסים, למרות שאין מספר קונקרטי.
זה היה התגלית
אלפי הפרויקטים המושפעים הם עותקים או שיבוטים של פרויקטים לגיטימיים שנוצרו לכאורה על ידי שחקנים איום להציג תוכנות זדוניות. המשמעות היא שפרויקטים רשמיים כמו קריפטו, גולאנג, פיתון, js, bash, docker ו-k8s לא הושפעו, אבל מפתח יכול להיתקל בעותק מבלי לדעת מה זה.
המהנדס שהעיר את האזעקה סקר פרויקט קוד פתוח שליסי "מצאה בחיפוש בגוגל" וראה את הדברים הבאים כתובת האתר בקוד ששיתפה בטוויטר.
אני חושף את מה שנראה כמו התקפת תוכנות זדוניות נרחבות @github.
- נכון לעכשיו יותר מ-35 אלף מאגרים נגועים
- עד כה נמצא בפרויקטים הכוללים: קריפטו, גולאנג, פיתון, js, bash, docker, k8s
- זה מתווסף לסקריפטים של npm, תמונות docker ומסמכי התקנה pic.twitter.com/rq3CBDw3r9- סטיבן לייסי (@stephenlacy) אוגוסט
המפתח ג'יימס טאקר ציין שהמאגרים המשובטים המכילים את כתובת האתר הזדונית הכילו דלת אחורית של שורה אחת. איומים אלו יכולים להעניק לשחקני איומים סודות חיוניים כגון מפתחות ה-API שלך, אסימונים, אישורים של Amazon AWS ומפתחות קריפטוגרפיים.