GitHub遭到大规模持续性的恶意存储库攻击 已删除数百万个带毒存储库

GitHub遭到大规模持续性的恶意存储库攻击 已删除数百万个带毒存储库 犯罪团伙选择拿 GitHub 当目标自然也是很有道理的,GitHub 在谷歌搜索上的权重非常高、点击量更大,不少用户其实无法分辨 GitHub 上的项目是原项目还是其他人 fork 的版本,因此也更容易中招。但这种自动化、大规模的对 GitHub 展开袭击还是很少见的,犯罪团伙自然知道如此规模的攻击必然会引起 GitHub 的注意以及进行技术对抗,但犯罪团伙还是这么干了,说明他们也有自信自己的自动化系统可以在 GitHub 的围追堵截下继续工作。事实上也确实如此,GitHub 目前已经删除了数百万个有问题的存储库,这些存储库主要 fork 一些大的、知名的存储库,被 fork 的存储库大约有 10 万个。这种也属于供应链攻击,而针对 GitHub 发起的供应链攻击数不胜数,但是出现百万级别的恶意存储库也是极为少见的,目前 GitHub 正在使用人工审查 + 大规模机器学习检测来删除这些恶意存储库,然而还是有一些携带后门的存储库成为漏网之鱼,这些漏网之鱼有可能会被用户下载。目前没有证据表明这些漏网之鱼的生命周期是多久,但 GitHub 哪怕是迟了个一两天才把漏网之鱼检测出来,在这一两天里可能也会有用户中招。所以,下次从 GitHub 上下载内容时记得看看 issues、提交历史、star 数作为参考,避免从搜索引擎进入了 fork 的存储库带来安全风险。 ... PC版: 手机版:

相关推荐

封面图片

GitHub 受到自动恶意分叉攻击正在大量分发恶意代码

GitHub 受到自动恶意分叉攻击正在大量分发恶意代码 该恶意软件分发活动现已传播到 GitHub,并扩大到至少数十万个受感染的存储库。根据安全公司 Apiiro 的说法,该代码下毒的活动包括以下几个步骤:克隆(clone)合法的存储库,用恶意软件加载程序感染它们,以相同的名称将更改后的文件上传到 GitHub,然后对有毒的存储库进行数千次分叉(fork)和星标(star),并在社交媒体渠道、论坛和网站上推广受感染的代码库。此后,寻找有用代码的开发人员可能会发现一个被描述为有用且乍一看似乎合适的代码库,但他们的数据却被运行恶意 Python 代码和二进制可执行文件的隐藏负载窃取。 以上策略均可自动化部署,根据扫描结果粗略估计至少有数十万个恶意代码库被生成,即使只有较小比例在审核过程中幸存,数量也有上千个。研究人员表示,GitHub 为这种恶意软件分发链提供了有效方法,因为它支持自动生成帐户和存储库、友好的 API 和软速率限制以及其庞大的规模。因此 GitHub 当前除了移除被举报的仓库外,并没有更加有效的方法预防该攻击过程。
封面图片

代码托管平台 GitHub 评论被指滥用:通过知名存储库 URL 分发恶意软件

代码托管平台 GitHub 评论被指滥用:通过知名存储库 URL 分发恶意软件 在发表评论时,用户可以添加附件,该文件将上传到 GitHub 的 CDN 并使用以下格式的唯一 URL 与相关项目关联: https://www.github.com/{project_user}/{ repo_name}/files/{file_id}/{file_name} 在将文件添加到未保存的评论后,GitHub 会自动生成下载链接,而不是在发布评论后生成 URL,如上所示。这使得威胁行为者可以在不知情的情况下将他们的恶意软件附加到任何存储库。即使不发布或删除评论,这些文件也不会从 CDN 中删除,且 URL 会持续永久有效。
封面图片

代码托管平台 GitHub 评论被指滥用:通过知名存储库 URL 分发恶意软件

代码托管平台 GitHub 评论被指滥用:通过知名存储库 URL 分发恶意软件 在发表评论时,用户可以添加附件,该文件将上传到 GitHub 的 CDN 并使用以下格式的唯一 URL 与相关项目关联: https://www.github.com/{project_user}/{ repo_name}/files/{file_id}/{file_name} 在将文件添加到未保存的评论后,GitHub 会自动生成下载链接,而不是在发布评论后生成 URL,如上所示。这使得威胁行为者可以在不知情的情况下将他们的恶意软件附加到任何存储库。即使不发布或删除评论,这些文件也不会从 CDN 中删除,且 URL 会持续永久有效。 Bleepingcomputer via 匿名
封面图片

PyPI存储库遭到自动化提交恶意软件攻击后暂停注册10小时

PyPI存储库遭到自动化提交恶意软件攻击后暂停注册10小时 PyPI 中出现恶意软件已经是个超级平常的事情,这些恶意软件一方面针对开发者进行供应链攻击,另一方面也会窃取敏感信息包括加密钱包的数据等。尽管 PyPI 官方并未透露为什么暂停注册和提交软件,不过事后安全公司 Checkmarx 称,在关闭注册前几个小时,PyPI 遭到了黑客攻击。黑客当然不是 DDoS,而是利用一种被称为拼写错误的技术批量提交大量恶意软件,有些开发者安装软件时可能会拼错单词,黑客只要批量提交足够多的恶意软件包,那肯定会有些命中开发者。研究人员分析后发现,黑客提交的恶意软件包具有以下目的:窃取加密钱包、浏览器中的敏感数据,包括 Cookie、扩展数据等和各种凭证等,这只是第一阶段攻击,黑客还是用有效的恶意负载在重启系统后依然实现持久化。这些恶意软件可能都是自动化创建的,它们模仿流行的软件名称,PyPI 官方如果靠手动封禁账号那可能是个巨大的工程,迫于无奈只能直接暂停新用户注册以缓解问题。此次 PyPI 暂停新用户注册超过 10 个小时,之后恢复了正常,不过接下来黑客还会继续提交更多恶意软件,所以开发者们下载安装软件时一定要谨慎。 ... PC版: 手机版:
封面图片

【Copper去年圣诞节期间收到GitHub存储库安全警报,无客户受损】

【Copper去年圣诞节期间收到GitHub存储库安全警报,无客户受损】 2月2日消息,英国加密资产托管公司Copper在去年圣诞节期间收到涉及该公司GitHub存储库安全问题的警报,该存储库含有如何保护客户资产的蓝图。Copper表示没有客户受到损害,该事件不属于适用法律或法规要求披露的性质,运营继续顺利进行,没有引起公司的进一步关注。 金色财经此前报道,1月26日,据《金融时报》报道,英国前财政大臣PhilipHammond宣布将加入加密资产托管公司Copper担任主席,并即将完成新一轮估值约20亿美元的融资。
封面图片

Web 开发人员的 10 个最佳 Github 存储库

Web 开发人员的 10 个最佳 Github 存储库 1.Web Developer Roadmap: 2.30 Seconds Of Code: 3.Awesome Cheatsheets: 4.CSS Protips: 5.33 JS Concepts: 6.You Dont Know JS: 7.Front End Checklist: 8.Javascript Questions: 9.Clean Code Javascript: 10.Free programming books:

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人