Разработчик Стивен Лейси (Stephen Lacy) взбудоражил сообщество, заявив в Twitter, что обнаружил «масштабную атаку вредоносного ПО» на GitHub, затронувшую около 35 000 репозиториев. Однако оказалось, что речь шла не о компрометации или взломе: обнаруженные репозитории оказались форками (копиями) других проектов, созданными специально для распространения малвари.
Исходный твит Лейси не на шутку встревожил сообщество, так как в нем исследователь заявлял, что обнаружил заражение 35 000 репозиториев малварью, и атака затронула такие известные проекты, как crypto, golang, python, js, bash, docker и k8s. К сожалению, многие не читали дальше первого сообщения, а в последующем треде Лейси объяснил, в чем именно дело.
Хотя создание форков является обычной практикой и даже поощряется среди разработчиков, в этом случае злоумышленники создают копии чужих проектов и заражают их вредоносным кодом, чтобы атаковать ничего не подозревающих разработчиков через эти вредоносные клоны.
Все началось с того, что Лейси изучал некий опенсорсный проект, «найденный через Google» и заметил в коде следующий URL-адрес: hxxp://ovz1.j19544519.pr46m.vps.myjino[.]ru. Как оказалось, поиск на GitHub обнаруживает этот URL-адрес более чем в 35 000 файлах в самых разных репозиториях.
Журналисты издания Bleeping Computer отмечают, что это число отражает именно количество подозрительных файлов, а не зараженных репозиториев, так что первичная оценка Лейси была не совсем верна. Так, из 35 788 результатов поиска более 13 000 результатов были получены из одного репозитория — redhat-operator-ecosystem.
После сообщения Лейси многие эксперты стали разбираться, что именно тот обнаружил. К примеру, Джеймс Такер (James Tucker), выяснил, что клонированные репозитории, содержащие вредоносный URL-адрес, извлекали переменные среды пользователя, а также оснащались однострочным бэкдором. Таким образом, хакеры могли не только похитить важные секреты, включая ключи API, токены, учетные данные от Amazon AWS и криптографические ключи, но и выполнить произвольный код в зараженных системах.
Журналисты Bleeping Computer пишут, что подавляющее большинство репозиториев-клонов появились в течение последнего месяца (от шести до двадцати дней назад), однако некоторые репозитории с вредоносными коммитами датированы далеким 2015 годом, то есть, вероятно, были взломаны.
При этом наиболее свежие коммиты, содержащие вредоносный URL-адрес уже исходят в основном от защитников, в том числе от аналитика угроз Флориана Рота (Florian Roth), который создал правила Sigma для обнаружения вредоносного кода. К сожалению, пока не все разобрались в происходящем, и некоторые пользователи GitHub начали ошибочно жаловаться на репозиторий Sigma, считая его вредоносным.
По данным Лейси и журналистов, за последние несколько часов GitHub удалил практически все вредоносные репозитории-клоны со своей платформы.
