The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

На GitHub зафиксирована волна форков с вредоносными изменениями

04.08.2022 10:08

В GitHub выявили активность по массовому созданию форков и клонов популярных проектов, с внедрением в копии вредоносных изменений, включающих бэкдор. Поиск по имени хоста (ovz1.j19544519.pr46m.vps.myjino.ru), к которому осуществляется обращение из вредоносного кода, показал наличие в GitHub более 35 тысяч изменений, присутствующих в клонах и форках различных репозиториев, включая форки проектов crypto, golang, python, js, bash, docker и k8s.

Атака нацелена на то, что пользователь не станет отслеживать оригинал и воспользуется вместо репозитория основного проекта кодом из форка или клона с немного отличающимся именем. В настоящее время GitHub уже удалил большую часть форков с вредоносной вставкой. Пользователям, приходящим на GitHub из поисковых систем, рекомендуется внимательно проверять связь репозитория с основным проектом перед использованием кода из него.

Добавляемый вредоносный код отправлял содержимое переменных окружения на внешний сервер с расчётом на кражу токенов к AWS и системам непрерывной интеграции. Кроме того, в код интегрировался бэкдор, запускающий shell-команды, возвращённые после отправки запроса к серверу злоумышленников. Большинство вредоносных изменений было добавлено от 6 до 20 дней назад, но присутствуют отдельные репозитории, в которых вредоносный код прослеживается с 2015 года.

  1. Главная ссылка к новости (https://www.bleepingcomputer.c...)
  2. OpenNews: В Git-репозитории проекта PHP выявлены вредоносные изменения
  3. OpenNews: Зафиксирована атака вредоносных шифровальщиков на Git-репозитории (дополнено)
  4. OpenNews: Захват контроля над уязвимыми серверами GitLab для вовлечения в проведение DDoS-атак
  5. OpenNews: Атака на GitHub, приведшая к утечке приватных репозиториев и доступу к инфраструктуре NPM
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/57596-github
Ключевые слова: github, mallware
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (53) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Косой (?), 14:17, 04/08/2022 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –9 +/
     
     
  • 2.2, Дмитрий (??), 14:22, 04/08/2022 Скрыто модератором
  • +5 +/
     

  • 1.3, Аноним (3), 14:43, 04/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    > гитхаб в отличие от конкурентов реально заботится о своих подопечных.  гитхаб = микрософт!
    > микрософт - это сила!

    Угу, с 2015 года заботится для некоторых проектов.

     
  • 1.5, Аноним (5), 15:11, 04/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    "Поиск по имени хоста" ... ".ru" Интересно ...
     
     
  • 2.15, Dzen Python (ok), 17:07, 04/08/2022 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Теперь во всем будут виноваты исключительно русские хакеры, а не тот, кто купил vps на рухостере?
     
     
  • 3.41, Какаянахренразница (ok), 07:41, 05/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А как ещё классифицировать хацкера с рухостера? Попросить у него скан паспорта, чтобы узнать национальность?
     
     
  • 4.52, Аноним (52), 13:01, 05/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Никак?
     
  • 2.58, n00by (ok), 07:27, 06/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > "Поиск по имени хоста" ... ".ru" Интересно ...

    Даже понятно, кто это сделал. У русских хэккеров в моде имена типа srizhopa.biz

     

  • 1.9, Аноним (9), 15:44, 04/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –16 +/
    То, что хост из .ru не вызывает удивления. Рунет тот ещё рассадник.
     
     
  • 2.11, Аноним (-), 16:22, 04/08/2022 [^] [^^] [^^^] [ответить]  
  • –6 +/
    А заказчики это конторские.
     
     
  • 3.18, Аноним (18), 17:57, 04/08/2022 [^] [^^] [^^^] [ответить]  
  • +15 +/
    Центр информационно-психологических операций, в своём репертуаре.
     
     
  • 4.24, Аноним (24), 20:11, 04/08/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Но мы же не можем знать всей правды, сам понимаем, что всё не так однозначно.  
     
  • 2.12, Аноним (24), 16:23, 04/08/2022 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Кто угодно может взять ру чтобы на него не подумали. Даже те самые чуваки из Гитлаба, которые гадят всему опенсорсу из всех своих щелей.
     
     
  • 3.14, Аноним (14), 16:42, 04/08/2022 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Каким образом они гадят?
     
     
  • 4.21, Аноним (24), 19:09, 04/08/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ты бункерный, да? https://www.opennet.ru/opennews/art.shtml?num=57595
     
  • 3.16, Аноним (16), 17:33, 04/08/2022 [^] [^^] [^^^] [ответить]  
  • –10 +/
    Может-то кто угодно, но берёт местная гопота. Мему про «русских хакеров» не первый год, и эта репутация не на пустом месте появилась.
     
     
  • 4.17, Аноним (17), 17:49, 04/08/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Выйди за пределы своей деревни.
     
     
  • 5.31, microsoft (?), 22:03, 04/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Шо это? Ходить надо? Ногами блин чтоле?
     
  • 4.19, Аноним (18), 17:58, 04/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Мему про «русских хакеров» не первый год, и эта репутация не на пустом месте появилась.

    Естественно. Не один миллион долларов кто-то заплатил за продвижение бренда.

     
     
  • 5.34, Аноним (34), 01:35, 05/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Неясно только кому заплатил.
     
  • 5.38, Аноним (38), 04:06, 05/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    С чего вдруг миллионы? Вполне возможно, всё проще: какой-нибудь пиарщик/спичрайтер ляпнул вместо "извините, мы облажались" и завертелось...
     
  • 4.22, Аноним (24), 19:11, 04/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А ты не думал что это хакеры просто в даркнете, а часто не очень-то в дарк, покупают доступ и эксплоиты у международных хакеров, и по факту не очень-то и хакеры. Поэтому им нужна была репутация что они именно хакеры, а не перекупы левые.  
     
     
  • 5.48, Аноним (48), 11:10, 05/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    левые

    Ленивые?

     
  • 2.13, Аноним (13), 16:24, 04/08/2022 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Точно, ведь преступники из других стран не могут арендовать сервера в ру сегменте, они арендуют их только в своих странах и обязательно под своими именами
     
     
  • 3.35, Аноним (-), 01:48, 05/08/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Джино хостинг, кстати, один из немногих, от кого из ру сейчас доходят смски для верификации в Украину. Мимо с Украины.
     
  • 3.42, Анони (?), 08:32, 05/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Как человек живущий зарубежом, могу заявить что после выхода зарубежного банкинга, систем банковских карт и частичной блокировки свифт, это стело сделать крайне проблематично
     
     
  • 4.50, Аноним (48), 11:15, 05/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    "За рубежом" - два слова, гуманитарии )
     
  • 2.47, Аноним (47), 10:44, 05/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ваши братья по разуму сейчас на швабре в комментариях срут. Вы что от стада отбились?
     

  • 1.27, peddoliliputto (?), 21:01, 04/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    нужно предложить удалять устаревшие репозитория
     
     
  • 2.57, Kenneth (?), 23:16, 05/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А также клея, драйвера и клапана. Можно еще контура.
     

  • 1.28, Вы забыли заполнить поле Name (?), 21:46, 04/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Дык это для copilot датасеты
     
     
  • 2.44, Онаним (?), 09:05, 05/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да, следующим приколом будет то, что копелотка начнёт автоматически вставлять бэкдоры.
     
     
  • 3.54, Аноним (-), 18:48, 05/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну так круто же. Кто сказал что нейросетки нельзя наесть? Их в RL то на№;%ывают, да еще куда мощные, а тут мелкие и глупые, не лезущие далеко в контекст. Похоже? Ну вот нате. Возможно, вы имели в виду воооооот это. ЧСХ если кодит вебманки, может и не прочухать.
     

  • 1.29, Вы забыли заполнить поле Name (?), 21:48, 04/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно на гитхабе уже есть боты для накручивания звездочек? Форки с внесением вредоносных изменений и звездочками - это тема.
     
  • 1.30, Онаним (?), 22:00, 04/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    - отправлял содержимое переменных окружения на внешний сервер с расчётом на
    ... доскер-смузихлёбов.
    Остальным сие не особо интересно.
     
     
  • 2.40, Аноним (40), 06:50, 05/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не совсем понятно, зачем переменные окружили сервер.
     
     
  • 3.43, Онаним (?), 09:03, 05/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так сейчас переменные, потом - постоянные...
     

  • 1.32, Мама (?), 23:28, 04/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >>присутствуют отдельные репозитории, в которых вредоносный код прослеживается с 2015 года.

    А что, неужели столько лет тысячиглас не могли увидеть вредноносное изменение?

     
     
  • 2.36, Аноним (36), 03:04, 05/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >>>присутствуют отдельные репозитории, в которых вредоносный код прослеживается с 2015 года.
    > А что, неужели столько лет тысячиглас не могли увидеть вредноносное изменение?

    Внезапно "тысячиглас" будут смотреть в основной проект, а не в говнофорки, которые нужны только для ловли невнимательных зевак, которые заходят всюду написывая название проекта и тыкая первую выдачу в поисковике.

    Если сообщество будет аналихировать каждый болгенос, каждый васянский форк, то это бесполезная потеря времени. А вот официальные популярные проекты, очень даже просматривают, потому что за найденное можно получить денюжку, не от проекта, так от конкурента.

     

  • 1.37, Аноним (38), 04:00, 05/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Строго говоря, форки на GitHub давно пора подчистить. Понятно, когда для пул-реквеста, своих изменений или заглохший проект кто-то подхватил, но подчас возникает впечатление, что некоторые вместо того, чтобы подписаться или сделать закладку, тупо форкают (неоднократно попадались форки активных проектов, без каких-либо изменений, которых 3-5-7 лет "git pull" не касался).
    Или проект немного подзаглох, думаешь - а чего бы форки не глянуть, вдруг кто подхватил? А там - десятки, а то и сотни совершенно бесполезных форков, ну офигеть же.
     
     
  • 2.45, 1 (??), 09:53, 05/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    "Если форки создаются, значит это кому-нибудь нужно,
    Значит - кто-то хочет, чтобы они были,
    Значит - кто-то называет эти плевочки жемчужиной." (с)
     
  • 2.46, crandel (ok), 10:04, 05/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    После удаления zinit автором я форкнул все необходимые для работы инструменты себе и скриптом раз в неделю синкаю их через github cli + еще локально копии. Все важное нужно держать у себя
     

  • 1.39, Сергей Петрович (?), 06:43, 05/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А windows когда форкнут?
     
     
  • 2.51, Аноним (48), 11:21, 05/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А есть кому? В Микрософт, говорят, "Количество сотрудников 182 268 (февраль 2021 г.)"
     
  • 2.53, Ag (ok), 13:30, 05/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Уже и давно - ReactOS
     
  • 2.55, Аноним (-), 18:50, 05/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да вон утечки сорцов валяются, форкайте наздоровье если форкалка не сломается.
     
  • 2.59, Аноним (59), 12:25, 06/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А смысл форкать майкрософт на майкрософт (если речь о GitHub'е)?
     

  • 1.56, Аноним (56), 20:40, 05/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не удивлюсь, если мякиши с анбыэ сами это замутили, чтобы 1) ввести двухфакторную авторизацию по телефону на Гитхабе, 2) очернить эрэфию и её программистов, затем вставлять палки

     
     
  • 2.61, Аноним (9), 00:14, 07/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > очернить эрэфию и её программистов, затем вставлять палки

    Зачем делать то, что программисты сами успешно делают? Достаточно просто посмотреть на комменты в опеннете.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру