撰稿:David
【编者按】曝料者在twitter上则表示,现阶段早已向Github调查报告,并告诫诸位千万别加装譬如的package。现阶段非官方已删掉绝大部分蓄意clone。Github又被人蓄意反击了?却是牵涉35000深外的小规模反击?
那个最新消息并非最新最新消息,是twitter使用者@Stephen Lacy在twitter上收到来的。
facai表明,Stephen Lacy是一名应用软件技师,专门从事应用领域为信息论和开放源码,却是一名格斗游戏合作开发人员,合作开发了这款名叫「PlayGodfall」的格斗游戏。
他宣称,他们辨认出了Github上的广为的小规模蓄意反击行为。现阶段已近少于35000个深外染病。
(不久后他作出更正,受感染的为35000+「代码段」,而并非深外)
Lacy则表示,现阶段,包括crypto, golang, python, js, bash, docker, k8s在内的著名深外均受到影响,波及范围包括NPM脚本、Docker图像和加装文件等。
他则表示,现阶段看上去这些蓄意的commit看上去人畜无害,起的名字看起来像是例行的版本更新。
而从深外历史变动记录看,有些commit来自于原库主,有些则表明使用者不存在,还有一些属于归档深外。
至于反击的方式,反击者会将库中的多种身份验证信息上传到他们的服务器上,包括安全公钥、AWS访问公钥、身份验证公钥等。
上传后,反击者就可以在你的服务器上运行任意代码。
听上去很可怕,有没有?
而除了窃取身份验证信息外,反击者还会构建假的深外链接,并以合法的深外形式向Github提交clone,从而甩锅给深外的原作者。
Lacy则表示,这些漏洞和反击是他浏览一个通过谷歌搜索找到的project时辨认出的,所以首先要注意的是,千万别随便加装网上搜到的什么譬如的package。
另外,要防止中招的最好方法是,使用GPG身份验证签名。
现阶段,Lacy则表示,早已向Github调查报告了他辨认出的情况,现阶段暂时还未见Github非官方作出回应。
最新最新消息是,据BleepingComputer报道, Github在收到蓄意事件调查报告后,早已清除了绝大部分包含蓄意内容的深外。
按照那个网站的说法 ,实际上,35000个原始深外并未「被劫持」 ,而是在clone中被添加了蓄意内容。数以千计的后门被添加到了正常合法项目的副本里(fork或clone),以达到推送蓄意应用软件的目的。
参考资料:
https://twitter.com/stephenlacy/status/1554697077430505473
https://www.bleepingcomputer.com/news/security/35-000-code-repos-not-hacked-but-clones-flood-github-to-serve-malware/
