Si bien la clonación de repositorios de código abierto es una práctica de desarrollo habitual, en este caso se trata de actores de amenazas que crean copias de proyectos legítimos, pero las contaminan con código malicioso para atacar a desarrolladores desprevenidos con estos clones.
GitHub ha dicho que ya ha sacado la mayoría de los repositorios maliciosos tras recibir el informe del ingeniero, aunque no hay número concretos.
-De esta forma fue que ha sido el descubrimiento
Los miles de proyectos afectados son copias o clones de proyectos legítimos que supuestamente han sido creados por agentes de amenazas para introducir malware. Esto se traduce a que los proyectos oficiales como crypto, golang, python, js, bash, docker, k8s, no se han visto afectados pero sí que un desarrollador puede encontrarse con una copia sin saber que es tal.
El ingeniero que dio la voz de alarma revisaba un proyecto de código abierto que Lacy había «encontrado en una búsqueda en Google» y ahí pudo ver la siguiente URL en el código que compartió en Twitter: «hxxp://ovz1.j19544519.pr46m.vps.myjino[.]ru»
Bleeping Computer ha descubierto que de los 35.788 resultados de código de estos clones, más de 13.000 resultados de búsqueda procedían de un único repositorio llamado ‘redhat-operator-ecosystem’. Ahora ya no aparece.
El desarrollador James Tucker señaló que los repositorios clonados que contenían la URL maliciosa contenían un backdoor de una línea. Estas amenazas pueden dar a los actores de la amenaza secretos vitales como sus claves de API, tokens, credenciales de Amazon AWS y claves criptográficas, en su caso.
La gran mayoría de los repositorios bifurcados fueron alterados con el código malicioso en algún momento del último mes. Los expertos recomiendan a los desarrolladores que usan esta plataforma que lo óptimo es consumir el software de los repositorios oficiales del proyecto y estar atento a posibles typosquats o bifurcaciones/clones del repositorio que puedan parecer idénticos al proyecto original pero que escondan malware. Los commits de código abierto firmados con claves GPG de los autores auténticos del proyecto son una forma de verificar la autenticidad del código.