Github又被恶意攻击了?还是涉及35,000个存储库的大规模攻击?这个消息不是官方的,它是由Twitter用户@StephenLacy发布的。根据个人资料,StephenLacy是一名软件工程师,从事密码学和开源,同时也是一名游戏开发者,开发了一款名为“PlayGodfall”的游戏。他声称发现了对Github的广泛和大规模的恶意攻击。到目前为止,已有超过35,000个存储库被感染。(他很快就更正了,被感染的是35000+“代码段”,不是资源库)Lacy说,目前著名的资源库包括crypto、golang、python、js、bash、docker、k8s都是受影响的影响包括NPM脚本、Docker镜像和安装文件。他说,目前看来,这些恶意提交看起来对人畜无害,名字看起来像是例行的版本更新。从版本库的历史变更记录来看,有的提交来自原版本库所有者,有的表明用户不存在,有的属于归档版本库。至于攻击方式,攻击者会将库中的各种加密信息上传到自己的服务器,包括安全密钥、AWS访问密钥、加密密钥等,一旦上传,攻击者就可以在你的服务器上运行任意代码。听起来很可怕,不是吗?除了窃取加密信息外,攻击者还会构造一个虚假的仓库链接,以合法仓库的形式向Github提交克隆,从而将责任推给仓库的原作者。Lacy表示,这些漏洞和攻击是他在浏览一个通过谷歌搜索找到的项目时发现的,所以首先要注意的是不要随便安装在网上找到的任何奇怪的包。另外,防止中招最好的办法就是使用GPG加密签名。目前,Lacy表示已经将发现的情况报告给了Github,尚未收到Github的官方回复。最新消息是,据BleepingComputer报道,Github在收到恶意事件报告后,已经清除了大部分包含恶意内容的仓库。据该网站称,实际上,35000个原始资源库并非被“劫持”,而是在克隆中添加了恶意内容。为了推送恶意软件,已将数以千计的后门程序添加到合法项目的副本(分支或克隆)中。
