Проекты GitHub подверглись атаке с вредоносными коммитами

Проекты GitHub подверглись атаке с вредоносными коммитами и пул-реквестами, чтобы внедрить бэкдоры. Всё началось с атаки на репозиторий Exo Labs, стартапа в сфере искусственного интеллекта и машинного обучения.

Соучредитель стартапа Алекс Чима предупредил о «невинно выглядящем» изменении кода, отправленном в репозиторий EXO на GitHub. Пул-реквест под названием «уточнение требования mlx для моделей deepseek» пытался изменить файл Python models.py в кодовой базе Exo, добавив в него последовательность чисел.

Это числа Unicode, каждое из которых представляет символ. Другими словами, открытый текстовый код Python был преобразован в эквивалентную ему форму с помощью простого метода, используемого при отправке изменений кода.

Эта последовательность символов, «105, 109, 112, 111, 114, 116,...», преобразуется в следующий фрагмент кода (URL-адрес удалили в целях безопасности): 

Довольно простой фрагмент кода пытается подключиться к evildojo(.)com и загрузить полезную нагрузку «stage1». Если бы изменение кода было одобрено и объединено с официальным репозиторием EXO, чего не произошло, любой желающий мог бы выполнить код, удалённо обслуживаемый URL-адресом в своей системе, и, следовательно, внедрить функциональный бэкдор.

В BleepingComputer попытались перейти по ссылке, но увидели ошибку 404. Некоторые другие исследователи подтвердили, что страница изначально была пустой.

Похоже, что коммит был отправлен пользователем GitHub, «evildojo666», аккаунт которого был впоследствии удалён. Архивная страница указывает на Майка Белла, исследователя безопасности из Техаса, этичного хакера и инженера-программиста. Однако сам он отрицает, что имел какое-либо отношение к этим коммитам. Белл утверждает, что кто-то выдает себя за него. Вероятно, это так