2022年8月3日,软件工程师StephenLacy在社交媒体上发文称,Github遭到大规模恶意软件攻击,影响超过35000个代码库,范围涵盖Crypto、Golang、Python、js、bash、Docker、k8s等领域。该恶意软件被发现被添加到npm脚本、Docker图像和安装文档中。StephenLacy警告说,这种攻击可能会向攻击者泄露受害者的多个密钥,并建议用户使用GPG对所有提交进行签名。但与此相反的是,GitHub上的“35000个项目”并未受到任何影响或损坏,crypto、golang、python、js、bash、docker、k8s等官方项目均未受到影响。另一位软件工程师在StephenLacy在Twitter上分享的代码中注意到以下网址:hxxp://ovz1.j19544519.pr46m.vps.myjino[.]ru在GitHub上搜索此网址时,有超过35000条搜索结果显示包含恶意URL的文件。因此,该图表示可疑文件的数量而不是受感染的存储库的数量:GitHub的恶意URL搜索结果显示超过35,000个文件存储库为“redhat-operator-ecosystem”。目前该仓库已从GitHub中移除,搜索结果显示“404”。工程师StephenLacy也对他的原始推文进行了更正和澄清。恶意软件为攻击者提供了远程攻击的后门。虽然“3.5万个GitHub代码库被攻击”是乌龙事件,但一些软件工程师发现,大约有数千个GitHub代码库被恶意复制。克隆开源代码库是一种常见的开发实践,也是很多开发者必不可少的操作。攻击者利用这一点,悄悄地将恶意软件隐藏在复制的代码库中进行分发和推广。一旦开发人员使用受污染的代码库,他们就会受到恶意软件的攻击。GitHub在收到软件工程师的报告后删除了大部分恶意存储库。但是,仍需保持警惕。安全专家提醒,这次攻击者的主要目标是没有做好准备的初级开发人员。开发者JamesTucker指出,包含恶意URL文件的GitHub存储库不仅泄露了用户的环境变量,还包含一个单行后门。存在克隆的代码库。恶意软件环境变量的泄漏本身可以为攻击者提供重要的秘密,例如用户的API密钥、令牌、亚马逊AWS凭证和加密密钥等。单行指令(上面的第241行)进一步允许远程攻击者在安装和运行这些恶意克隆的任何人的系统上执行任意代码。根据软件工程师的说法,绝大多数复制的存储库在上个月的某个时候被恶意代码更改-从6到20天不等,甚至观察到一些恶意提交的存储库可以追溯到2015年。最新的恶意URL提交主要来自安全专家,包括威胁情报分析师FlorianRoth,他提供了Sigma规则来检测环境中的恶意代码。具有讽刺意味的是,当一些GitHub用户看到Sigma规则(供防御者使用)中存在恶意字符串时,他们开始错误地将Roth维护的SigmaGitHub存储库报告为恶意。
