GitHub сутыкаецца з шырока распаўсюджанымі атакамі шкоднасных праграм, якія закранаюць праекты, у тым ліку крыптаграфічныя

Буйная платформа распрацоўшчыкаў GitHub сутыкнулася з шырока распаўсюджанай атакай шкоднасных праграм і паведаміла пра 35,000 XNUMX «хітоў кода» за дзень, у выніку чаго тысячы кашалькоў на аснове Solana былі асушаны на мільёны долараў.

Шырока распаўсюджаная атака была падкрэслена распрацоўшчыкам GitHub Стывенам Люсі, які першым паведаміў пра інцыдэнт раней у сераду. Распрацоўшчык сутыкнуўся з праблемай падчас прагляду праекта, які ён знайшоў у пошуку Google.

Я выяўляю тое, што здаецца шырока распаўсюджанай атакай шкоднасных праграм на @github.
– У цяперашні час заражана больш за 35 тысяч рэпазітарыяў
– Да гэтага часу знойдзены ў такіх праектах: crypto, golang, python, js, bash, docker, k8s
– Ён дадаецца ў скрыпты npm, выявы докераў і дакументацыю па ўсталёўцы pic.twitter.com/rq3CBDw3r9
— Стывен Лэйсі (@stephenlacy) Жнівень 3, 2022

Дагэтуль было выяўлена, што атака закранула розныя праекты — ад crypto, Golang, Python, JavaScript, Bash, Docker і Kubernetes. Атака шкоднасных праграм накіравана на вобразы докераў, дакументы ўстаноўкі і скрыпт NPM, які з'яўляецца зручным спосабам аб'яднання агульных каманд абалонкі для праекта.

Каб падмануць распрацоўшчыкаў і атрымаць доступ да важных даных, зламыснік спачатку стварае фальшывы рэпазітар (сховішча змяшчае ўсе файлы праекта і гісторыю версій кожнага файла) і адпраўляе клоны законных праектаў на GitHub. Напрыклад, наступныя два здымкі паказваюць гэты законны праект крыптамайнера і яго клон.

*Арыгінальны праект майнинга крыпты. Крыніца: Github*

*Кланаваны праект майнинга крыпты. Крыніца: Github*

Многія з гэтых сховішчаў клонаў былі перададзены ў выглядзе «запытаў на выцягванне», што дазваляе распрацоўшчыкам паведамляць іншым аб зменах, якія яны перанеслі ў галінку ў сховішчы на GitHub.

Па тэме: Паведамляецца, што Nomad праігнараваў уразлівасць бяспекі, якая прывяла да эксплойту на 190 мільёнаў долараў

Як толькі распрацоўшчык становіцца ахвярай атакі шкоднаснага ПЗ, уся зменная асяроддзя (ENV) сцэнарыя, прыкладання або ноўтбука (праграмы Electron) адпраўляецца на сервер зламысніка. ENV уключае ключы бяспекі, ключы доступу да Amazon Web Services, крыптаключы і многае іншае.

Распрацоўшчык паведаміў аб праблеме GitHub і параіў распрацоўшчыкам падпісаць GPG свае змены, унесеныя ў рэпазітар. Ключы GPG дадаюць дадатковы ўзровень бяспекі ўліковым запісам і праектам праграмнага забеспячэння GitHub, забяспечваючы спосаб праверкі таго, што ўсе версіі паходзяць з надзейнай крыніцы.