Twitter用户@StephenLacy发现GitHub上存在大规模混淆恶意攻击。目前GitHub上有超过35000个恶意文件/克隆仓库,包括crypto、golang、python、js、bash、docker、k8s等知名项目。这些恶意文件/克隆库会附上一行恶意代码:hxxp://ovz1.j19544519.pr46m.vps.myjino[.]ru不仅会泄露用户的环境变量,还会包含一行后门,它将脚本、应用程序、笔记本电脑(电子应用程序)等连同整个ENV包括受害者的安全密钥、AWS访问密钥、加密密钥等帐户凭证发送到攻击者的服务器。GiuHub对这行恶意代码的搜索产生了35,788个代码结果,其中约13,000个来自名为“redhat-operator-ecosystem”的存储库,该存储库现已从GitHub上删除。这些恶意攻击伪装得很好,看起来像是无害的提交,带有诸如“bumpversionto0.3.11”之类的消息:其中一些被混淆为合法的PR,但是存储库没有收到任何PR,而是存储库中的每个go文件被感染:一些克隆存储库的提交历史包括来自原作者的提交,但这些提交没有经过GPG验证,这意味着这是攻击者通过克隆存储库伪造的。除了原作者,恶意软件还可能冒充其他开发者,但点进去发现该用户并不存在。这部分恶意攻击与GiuHub本身的漏洞有关。例如,我们之前曾报道过Linus利用GitHub漏洞发布恶作剧README,用户可以“通过git邮箱冒充用户”,然后使用/blob/
