Malware gekloonde GitHub-opslagplaatsen om ontwikkelaars aan te vallen

Duizenden GitHub repositories zijn gekopieerd en de klonen bevatten malware, zoals een software-engineer met de naam Stephen Lacy heeft kunnen verifiëren. Hij berekent dat er 35,000 gekloonde repositories zijn.

Hoewel het klonen van open source-repositories een gebruikelijke ontwikkelingspraktijk is, gaat het in dit geval om bedreigingsactoren die kopieën van legitieme projecten maken, maar deze besmetten met kwaadaardige code om nietsvermoedende ontwikkelaars met deze klonen aan te vallen.

GitHub heeft gezegd dat het de meeste kwaadaardige repositories al heeft verwijderd na ontvangst van het rapport van de technici, hoewel er geen concreet aantal is.

Dit was de ontdekking

De duizenden getroffen projecten zijn kopieën of klonen van legitieme projecten die zogenaamd door dreigingsactoren zijn gemaakt om te introduceren malware. Dit betekent dat officiële projecten zoals crypto, golang, python, js, bash, docker en k8s niet zijn aangetast, maar een ontwikkelaar kan een kopie tegenkomen zonder te weten wat het is.

De ingenieur die alarm sloeg, bekeek een open source-project dat Lacy had "gevonden op een Google-zoekopdracht" en zag het volgende: URL in de code die ze op Twitter deelde.

Ik ontdek wat een massale wijdverbreide malware-aanval lijkt te zijn op @github.

– Momenteel zijn meer dan 35 repositories geïnfecteerd
– Tot nu toe gevonden in projecten, waaronder: crypto, golang, python, js, bash, docker, k8s
- Het wordt toegevoegd aan npm-scripts, docker-afbeeldingen en installatiedocumenten pic.twitter.com/rq3CBDw3r9

— Stephen Lacy (@stephenlacy) 3 Augustus 2022

Ontwikkelaar James Tucker wees erop dat de gekloonde repositories met de kwaadaardige URL een achterdeur van één regel bevatten. Deze bedreigingen kunnen bedreigingsactoren essentiële geheimen geven, zoals uw API-sleutels, tokens, Amazon AWS-inloggegevens en cryptografische sleutels.