GitHub стикається з широко поширеними атаками зловмисного програмного забезпечення, що впливає на проекти, включно з крипто

Основна платформа розробників GitHub зіткнулася з широкомасштабною атакою зловмисного програмного забезпечення та повідомила про 35,000 XNUMX «попадань коду» за день, у результаті чого тисячі гаманців на базі Solana були вичерпані на мільйони доларів.

Широкомасштабну атаку підкреслив розробник GitHub Стівен Люсі, який першим повідомив про інцидент раніше в середу. Розробник зіткнувся з проблемою під час перегляду проекту, який він знайшов у пошуковому запиті Google.

Я виявляю те, що, здається, є широкомасштабною атакою зловмисного програмного забезпечення @github.
– Зараз заражено понад 35 тисяч сховищ
– Наразі знайдено в таких проектах, як: crypto, golang, python, js, bash, docker, k8s
– Він додається до сценаріїв npm, зображень докерів і документів встановлення pic.twitter.com/rq3CBDw3r9
— Стівен Лейсі (@stephenlacy) Серпень 3, 2022

Наразі виявлено, що атака вразила різні проекти — від crypto, Golang, Python, JavaScript, Bash, Docker і Kubernetes. Атака зловмисного програмного забезпечення спрямована на образи докерів, інсталяційні документи та сценарій NPM, що є зручним способом об’єднання загальних команд оболонки для проекту.

Щоб обдурити розробників і отримати доступ до критично важливих даних, зловмисник спочатку створює фальшиве сховище (репозиторій містить усі файли проекту та історію переглядів кожного файлу) і надсилає клони законних проектів на GitHub. Наприклад, наступні два знімки показують цей законний проект криптомайнера та його клон.

*Оригінальний проект майнінгу криптовалют. Джерело: Github*

*Клонований проект майнінгу криптовалют. Джерело: Github*

Багато з цих сховищ клонів надсилалися як «запити на витягування», що дозволяло розробникам повідомляти іншим про зміни, які вони надсилали до гілки сховища на GitHub.

За темою: Повідомляється, що Nomad проігнорував уразливість системи безпеки, яка призвела до експлойту на 190 мільйонів доларів

Коли розробник стає жертвою атаки зловмисного програмного забезпечення, уся змінна середовища (ENV) сценарію, програми чи ноутбука (програми Electron) надсилається на сервер зловмисника. ENV містить ключі безпеки, ключі доступу до Amazon Web Services, криптографічні ключі та багато іншого.

Розробник повідомив про проблему GitHub і порадив розробникам підписати GPG свої зміни, внесені до репозиторію. Ключі GPG додають додатковий рівень безпеки обліковим записам і проектам програмного забезпечення GitHub, надаючи спосіб перевірки, що всі версії надходять із надійного джерела.