A principal plataforma de desenvolvedores GitHub enfrentou um ataque de malware generalizado e relatou 35.000 “acessos de código” em um dia que viu milhares de carteiras baseadas em Solana drenadas por milhões de dólares.

O ataque generalizado foi destacado pelo desenvolvedor do GitHub, Stephen Lucy, que relatou o incidente pela primeira vez na quarta-feira (03/08). O desenvolvedor se deparou com o problema ao revisar um projeto que encontrou em uma pesquisa no Google.

Estou descobrindo o que parece ser um grande ataque de malware generalizado no @github.

- Atualmente, mais de 35 mil repositórios estão infectados
- Até agora encontrado em projetos, incluindo: crypto, golang, python, js, bash, docker, k8s
- É adicionado a scripts npm, imagens docker e documentos de instalação pic.twitter.com/rq3CBDw3r9

— Stephen Lacy (@stephenlacy) 3 de agosto de 2022

Até agora, vários projetos – de criptomoeda, Golang, Python, JavaScript, Bash, Docker e Kubernetes – foram afetados pelo ataque. O ataque de malware tem como alvo as imagens do docker, os documentos de instalação e o script NPM, que é uma maneira conveniente de agrupar comandos shell comuns para um projeto.

Para enganar os desenvolvedores e acessar dados críticos, o invasor primeiro cria um repositório falso (um repositório contém todos os arquivos do projeto e o histórico de revisões de cada arquivo) e envia clones de projetos legítimos para o GitHub. Por exemplo, os dois instantâneos a seguir mostram esse projeto legítimo de minerador de cripto e seu clone.

 

 

Major developer platform GitHub faced a widespread malware attack and reported 35,000 “code hits” on a day that saw thousands of Solana-based wallets drained for millions of dollars.

The widespread attack was highlighted by GitHub developer Stephen Lucy, who first reported the incident earlier on Wednesday. The developer came across the issue while reviewing a project he found on a Google search.

So far, various projects — from crypto, Golang, Python, JavaScript, Bash, Docker and Kubernetes — have been found to be affected by the attack. The malware attack is targeted at the docker images, install docs and NPM script, which is a convenient way to bundle common shell commands for a project.

To dupe developers and access critical data, the attacker first creates a fake repository (a repository contains all of the project’s files and each file’s revision history) and pushes clones of legit projects to GitHub. For example, the following two snapshots show this legit crypto miner project and its clone.

Projeto original de mineração de cripto. Fonte: Githu

Projeto de mineração de cripto clonado. Fonte: Github

Muitos desses repositórios clones foram enviados como “pull requests”, o que permite que os desenvolvedores informem aos outros sobre as alterações que enviaram para uma ramificação em um repositório no GitHub.

Quando o desenvolvedor é vítima do ataque de malware, toda a variável de ambiente (ENV) do script, aplicativo ou laptop (aplicativos eletrônicos) é enviada ao servidor do invasor. O ENV inclui chaves de segurança, chaves de acesso da Amazon Web Services, chaves criptográficas e muito mais.

O desenvolvedor relatou o problema ao GitHub e aconselhou os desenvolvedores a assinarem com GPG suas revisões feitas no repositório. As chaves GPG adicionam uma camada extra de segurança às contas e projetos de software do GitHub, fornecendo uma maneira de verificar se todas as revisões vêm de uma fonte confiável.

VEJA MAIS: