Будьте осторожны, пользователи GitHub: хакеры наводняют платформу вредоносными клонами
5 августа 2022 г.Пользователи GitHub подвергаются атакам с помощью вредоносных копий законных репозиториев, недавно обнаружил исследователь.
Охотясь на разработчиков, у которых мало времени, безрассудных или просто перегруженных работой, кто-то копирует официальные проекты GitHub, такие как crypto, golang, python, js, bash, docker, k8s, давая им похожие имена. к исходным проектам и слегка видоизменив их таким образом, чтобы они содержали вредоносный код.
Хитрый план был впервые обнаружен разработчиком программного обеспечения Стивеном Лейси, который после просмотра одного проекта с открытым исходным кодом заметил скрытый вредоносный URL-адрес. в пределах. Быстрый поиск в GitHub вскоре показал, что один и тот же URL содержится более чем в 35 000 репозиториев.
Исходные репозитории не повреждены
Другой разработчик, Джеймс Такер, также обнаружил, что репозитории предназначены для перехвата переменных пользовательской среды, кражи ключей API, токенов, криптографических ключей, а также выполнения произвольного кода на затронутых конечные точки.
Эта информация может использоваться в атаках с целью кражи личных данных или программах-вымогателях< /a> кампании.
С тех пор GitHub удалил вредоносные репозитории и опубликовал короткое заявление через Twitter, в котором говорится: «GitHub расследует твит, опубликованный в среду, 3 августа 2022 года. Ни один репозиторий не был скомпрометирован. Вредоносный код был размещен в клонированных репозиториях, а не в самих репозиториях. Клоны были помещены в карантин, и GitHub или учетные записи сопровождающих не были скомпрометированы».
Хотя большинство изменений вредоносного кода были внесены за последние пару месяцев, некоторые из них были внесены семь лет назад.
GitHub – один из крупнейших в мире репозиториев с открытым исходным кодом, поэтому его часто атакуют. Разработчикам рекомендуется всегда быть особенно осторожными при извлечении кода с платформы, обращая внимание на потенциальные опечатки или копии репозитория, клоны или форки.
Один из способов убедиться, что они смотрят на легитимный код, — это найти коммиты кода, подписанные ключами GPG авторов проекта, заключает издание.
- Это лучшие антивирусные решения ул>
Через: BleepingComputer
Оригинал