Зловмисне програмне забезпечення клонувало репозиторії GitHub для атаки на розробників

Тисячі GitHub репозиторії були скопійовані, а клони містять зловмисне програмне забезпечення, як зміг перевірити інженер програмного забезпечення на ім’я Стівен Лейсі. Він підрахував, що існує 35,000 XNUMX клонованих сховищ.

Хоча клонування репозиторіїв з відкритим кодом є загальноприйнятою практикою розробки, у цьому випадку загрози створюють копії законних проектів, але заражають їх шкідливим кодом, щоб націлити ці клони на нічого не підозрюючих розробників.

GitHub заявив, що після отримання звіту інженерів уже видалив більшість шкідливих сховищ, хоча конкретної цифри немає.

Це було відкриття

Тисячі постраждалих проектів є копіями або клонами законних проектів, імовірно створених суб’єктами загрози для впровадження зловмисне програмне забезпечення. Це означає, що офіційні проекти, такі як crypto, golang, python, js, bash, docker і k8s, не постраждали, але розробник може натрапити на копію, не знаючи, що це таке.

Інженер, який підняв тривогу, переглянув проект із відкритим вихідним кодом, який Лейсі «знайшла під час пошуку Google», і побачив наступне URL у коді, яким вона поділилася в Twitter.

Я виявляю те, що, здається, є широкомасштабною атакою зловмисного програмного забезпечення @github.

– Зараз заражено понад 35 тисяч сховищ
– Наразі знайдено в таких проектах, як: crypto, golang, python, js, bash, docker, k8s
– Він додається до сценаріїв npm, зображень докерів і документів встановлення pic.twitter.com/rq3CBDw3r9

— Стівен Лейсі (@stephenlacy) Серпень 3, 2022

Розробник Джеймс Такер зазначив, що клоновані сховища, які містять шкідливу URL-адресу, містили однорядковий бекдор. Ці загрози можуть надати суб’єктам загрози життєво важливі секрети, такі як ключі API, маркери, облікові дані Amazon AWS і криптографічні ключі.