Malware clonou repositórios do GitHub para atacar desenvolvedores

Milhares de GitHub repositórios foram copiados e os clones incluem malware, como um engenheiro de software chamado Stephen Lacy conseguiu verificar. Ele calcula que existam 35,000 mil repositórios clonados.

Embora a clonagem de repositórios de código aberto seja uma prática comum de desenvolvimento, neste caso, envolve agentes de ameaças criando cópias de projetos legítimos, mas contaminando-os com código malicioso para atingir desenvolvedores desavisados ​​com esses clones.

O GitHub disse que já removeu a maioria dos repositórios maliciosos após receber o relatório dos engenheiros, embora não haja um número concreto.

Esta foi a descoberta

Os milhares de projetos afetados são cópias ou clones de projetos legítimos, supostamente criados por agentes de ameaças para introduzir malware. Isso significa que projetos oficiais como crypto, golang, python, js, bash, docker e k8s não foram afetados, mas um desenvolvedor pode encontrar uma cópia sem saber o que é.

O engenheiro que deu o alarme revisou um projeto de código aberto que Lacy havia “encontrado em uma pesquisa no Google” e viu o seguinte URL no código que ela compartilhou no Twitter.

Estou descobrindo o que parece ser um ataque de malware massivo e generalizado em @github.

– Atualmente mais de 35k repositórios estão infectados
– Até agora encontrado em projetos, incluindo: crypto, golang, python, js, bash, docker, k8s
– É adicionado a scripts npm, imagens docker e documentos de instalação pic.twitter.com/rq3CBDw3r9

—Stephen Lacy (@stephenlacy) 3 de agosto de 2022

O desenvolvedor James Tucker apontou que os repositórios clonados contendo o URL malicioso continham um backdoor de uma linha. Essas ameaças podem fornecer segredos vitais aos agentes da ameaça, como chaves de API, tokens, credenciais da Amazon AWS e chaves criptográficas.