GitHub 受到自动恶意分叉攻击正在大量分发恶意代码

GitHub 受到自动恶意分叉攻击正在大量分发恶意代码 该恶意软件分发活动现已传播到 GitHub，并扩大到至少数十万个受感染的存储库。根据安全公司 Apiiro 的说法，该代码下毒的活动包括以下几个步骤：克隆（clone）合法的存储库，用恶意软件加载程序感染它们，以相同的名称将更改后的文件上传到 GitHub，然后对有毒的存储库进行数千次分叉（fork）和星标（star），并在社交媒体渠道、论坛和网站上推广受感染的代码库。此后，寻找有用代码的开发人员可能会发现一个被描述为有用且乍一看似乎合适的代码库，但他们的数据却被运行恶意 Python 代码和二进制可执行文件的隐藏负载窃取。 以上策略均可自动化部署，根据扫描结果粗略估计至少有数十万个恶意代码库被生成，即使只有较小比例在审核过程中幸存，数量也有上千个。研究人员表示，GitHub 为这种恶意软件分发链提供了有效方法，因为它支持自动生成帐户和存储库、友好的 API 和软速率限制以及其庞大的规模。因此 GitHub 当前除了移除被举报的仓库外，并没有更加有效的方法预防该攻击过程。

npm存储库被滥用 中国开发者上传《武林外传》等大量盗版视频

npm存储库被滥用 中国开发者上传《武林外传》等大量盗版视频 谁需要 YouTube？开发人员找到了自己的视频托管服务近来，npm、PyPI 和 GitHub 等软件开发存储库的用户发现了一些独特的使用案例，这些案例在技术上偏离了这些平台设计的核心目的存储软件工件。发布到这些服务的补丁和软件包经常包含恶意代码、恶意软件研究样本以及电影、影片和电子书等媒体内容。虽然多媒体资产当然可以而且经常是合法软件应用程序不可或缺的一部分，但 今天被抓获并被实时从 npm 注册表中清除的748 个软件包却包含视频文档，而且还有电视连续剧《武林外传》的盗版文档。这些软件包被追踪为sonatype-2024-0284，，每个软件包的大小大约为54.5 MB ，命名时使用了"wlwz"（武林外传）前缀，后面跟着一组数字，也许是为了表示下载和处理这些软件包的顺序，以重建其中包含的整个剧集。时间戳显示，这些软件包至少从 2023 年 12 月 4 日起就一直存在于 npm 注册表中，但 GitHub 本周开始将它们从注册表中移除。这些工件背后的 npm 用户名为wlwz，其前缀就包含在这些软件包的名称中。每个软件包中都有以".ts"扩展名结尾的视频片段，这表明这些片段是从 DVD 和蓝光光盘中翻录的。(这里的".ts"扩展名不能与TypeScript 混淆）。有些软件包（如"wlwz-2312"）在 JSON 文件中包含普通话字幕。这起事件与 2022 年的事件如出一辙，当时中国的开发人员被发现（滥用）GitHub 和 npm来存储成千上万本电子书，这可能是规避国家审查的一种手段。不过，这也完全有可能是滥用注册表来托管盗版材料。我们经常发现并报道开放源码注册表充斥着数以百计的加密货币、垃圾软件包和依赖性混淆恶意软件的事件，这些事件说明了用户（和攻击者）使用此类注册表的创新方式，以及他们看似良性的行为如何最终威胁到这些平台乃至整个软件供应链的完整性和卫生。总之，不要把视频上传到开放源码软件注册中心：至少你肯定违反了他们的服务条款。 ... PC版： 手机版：