主要開發者平台 GitHub 面臨廣泛的惡意軟件攻擊,並在一天內報告了 35,000 次“代碼命中”,數千個基於 Solana 的錢包被盜用數百萬美元。
GitHub 開發人員 Stephen Lucy 強調了這次廣泛的攻擊,他在周三早些時候首次報導了這一事件。 開發人員在查看他在 Google 搜索中找到的項目時遇到了這個問題。
我正在發現似乎是大規模廣泛的惡意軟件攻擊 @github.
– 目前有超過 35 個存儲庫被感染
- 迄今為止在項目中發現,包括:crypto、golang、python、js、bash、docker、k8s
- 它被添加到 npm 腳本、docker 圖像和安裝文檔中 pic.twitter.com/rq3CBDw3r9——斯蒂芬·萊西(@stephenlacy) 2022 年 8 月 3 日
到目前為止,已經發現各種項目——包括加密、Golang、Python、JavaScript、Bash、Docker 和 Kubernetes——都受到了攻擊的影響。 惡意軟件攻擊針對 docker 鏡像、安裝文檔和 NPM 腳本,這是為項目捆綁常用 shell 命令的一種便捷方式。
為了欺騙開發人員並訪問關鍵數據,攻擊者首先創建了一個虛假存儲庫(一個存儲庫包含項目的所有文件和每個文件的修訂歷史),並將合法項目的克隆推送到 GitHub。 例如,以下兩個快照顯示了這個合法的加密礦工項目及其克隆。
其中許多克隆存儲庫被推送為“拉取請求”,這讓開發人員可以告訴其他人他們已推送到 GitHub 存儲庫中的分支的更改。
相關新聞: 據報導,Nomad 忽略了導致 190 億美元漏洞利用的安全漏洞
一旦開發人員成為惡意軟件攻擊的犧牲品,腳本、應用程序或筆記本電腦(電子應用程序)的整個環境變量 (ENV) 就會被發送到攻擊者的服務器。 ENV 包括安全密鑰、Amazon Web Services 訪問密鑰、加密密鑰等等。
開發人員已向 GitHub 報告了該問題,並建議開發人員對他們對存儲庫所做的修訂進行 GPG 簽名。 GPG 密鑰通過提供一種驗證所有修訂來自可信來源的方法,為 GitHub 帳戶和軟件項目增加了一層額外的安全性。
資料來源:https://cointelegraph.com/news/github-faces-widespread-malware-attacks-affecting-projects-include-crypto