На GitHub обнаружена как минимум сотня тысяч вредоносных репозиториев, которые имитируют популярные хранилища, но отличаются от них опечатками в именах и автоматизированным разветвлением. Обнаружившие проблему исследователи Apiiro предполагают, что на самом деле количество опасных репозиториев исчисляется миллионами. За счет похожести имен злоумышленники побуждают разработчиков загружать вредоносную, а не реальную версию.
Установка подобного репозитория грозит разработчику сбором всех его логинов и паролей из различных приложений, а также файлов cookies и других значимых данных. Однако этим эффект вредоносов не ограничивается. Потенциально воспользовавшийся таким репозиторием пользователь может без злого умысла разветвить его, поучаствовав таким образом в его распространении.
Исследователи отмечают, что GitHub оперативно удаляет большинство репозиториев репозиториев. Остается небольшой процент, однако и он составляет тысячи потенциально опасных хранилищ.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.