代码托管平台 GitHub 评论被指滥用：通过知名存储库 URL 分发恶意软件

代码托管平台 GitHub 评论被指滥用：通过知名存储库 URL 分发恶意软件 在发表评论时，用户可以添加附件，该文件将上传到 GitHub 的 CDN 并使用以下格式的唯一 URL 与相关项目关联： https://www.github.com/{project_user}/{ repo_name}/files/{file_id}/{file_name} 在将文件添加到未保存的评论后，GitHub 会自动生成下载链接，而不是在发布评论后生成 URL，如上所示。这使得威胁行为者可以在不知情的情况下将他们的恶意软件附加到任何存储库。即使不发布或删除评论，这些文件也不会从 CDN 中删除，且 URL 会持续永久有效。

GitHub 受到自动恶意分叉攻击正在大量分发恶意代码

GitHub 受到自动恶意分叉攻击正在大量分发恶意代码 该恶意软件分发活动现已传播到 GitHub，并扩大到至少数十万个受感染的存储库。根据安全公司 Apiiro 的说法，该代码下毒的活动包括以下几个步骤：克隆（clone）合法的存储库，用恶意软件加载程序感染它们，以相同的名称将更改后的文件上传到 GitHub，然后对有毒的存储库进行数千次分叉（fork）和星标（star），并在社交媒体渠道、论坛和网站上推广受感染的代码库。此后，寻找有用代码的开发人员可能会发现一个被描述为有用且乍一看似乎合适的代码库，但他们的数据却被运行恶意 Python 代码和二进制可执行文件的隐藏负载窃取。 以上策略均可自动化部署，根据扫描结果粗略估计至少有数十万个恶意代码库被生成，即使只有较小比例在审核过程中幸存，数量也有上千个。研究人员表示，GitHub 为这种恶意软件分发链提供了有效方法，因为它支持自动生成帐户和存储库、友好的 API 和软速率限制以及其庞大的规模。因此 GitHub 当前除了移除被举报的仓库外，并没有更加有效的方法预防该攻击过程。

GitHub评论功能被用来冒充微软托管恶意软件 暂时还未解决问题

GitHub评论功能被用来冒充微软托管恶意软件 暂时还未解决问题 为什么说是设计问题：以微软托管在 GitHub 上的 vcpkg 项目为例，这个项目开启了 issues 反馈，用户提交一个新的 issue 后其他用户可以在下面评论。评论功能支持附带文件，例如当上传一个名为的文件时，GitHub 将会这个文件生成永久 URL 并附加在 vcpkg 项目下。即便用户删除评论这个文件也会被保留下来并继续提供永久访问，甚至用户都不需要真提交评论，直接上传文件就好了。这样这个恶意文件就可以通过 https://github [.] com/microsoft/vcpkg/files/14125503/ 下载。由于这个地址看起来就像是微软官方的文件，因此在一些场合中更容易钓鱼，这也是为什么黑客看中 GitHub 这个功能并进行滥用的原因。项目所有者不知情：正如上文提到的那样，上传一个文件不用真发布评论，或者发布后立即删除就可以获取这个文件的永久链接，而项目的维护者是不知道自己的项目路径下还存在这种恶意软件的。从某些方面来说这可能也会对一些公司的声誉造成影响，问题是这个问题还不太容易解决，因为它属于 GitHub 的设计问题，GitHub 显然不能一刀切直接关闭这个功能。所以后续 GitHub 如何解决问题还是个难题，可能需要专门新建一个临时文件路径来托管这些文件，这样不影响使用但也不会托管在其他路径下。 ... PC版： 手机版：

GitHub遭到大规模持续性的恶意存储库攻击 已删除数百万个带毒存储库

GitHub遭到大规模持续性的恶意存储库攻击 已删除数百万个带毒存储库 犯罪团伙选择拿 GitHub 当目标自然也是很有道理的，GitHub 在谷歌搜索上的权重非常高、点击量更大，不少用户其实无法分辨 GitHub 上的项目是原项目还是其他人 fork 的版本，因此也更容易中招。但这种自动化、大规模的对 GitHub 展开袭击还是很少见的，犯罪团伙自然知道如此规模的攻击必然会引起 GitHub 的注意以及进行技术对抗，但犯罪团伙还是这么干了，说明他们也有自信自己的自动化系统可以在 GitHub 的围追堵截下继续工作。事实上也确实如此，GitHub 目前已经删除了数百万个有问题的存储库，这些存储库主要 fork 一些大的、知名的存储库，被 fork 的存储库大约有 10 万个。这种也属于供应链攻击，而针对 GitHub 发起的供应链攻击数不胜数，但是出现百万级别的恶意存储库也是极为少见的，目前 GitHub 正在使用人工审查 + 大规模机器学习检测来删除这些恶意存储库，然而还是有一些携带后门的存储库成为漏网之鱼，这些漏网之鱼有可能会被用户下载。目前没有证据表明这些漏网之鱼的生命周期是多久，但 GitHub 哪怕是迟了个一两天才把漏网之鱼检测出来，在这一两天里可能也会有用户中招。所以，下次从 GitHub 上下载内容时记得看看 issues、提交历史、star 数作为参考，避免从搜索引擎进入了 fork 的存储库带来安全风险。 ... PC版： 手机版：

clash_for_windows_pkg'删库'删除了github存储的二进制文件。还在发电报，问题不大，但是不更新了

clash_for_windows_pkg'删库'删除了github存储的二进制文件。还在发电报，问题不大，但是不更新了 链接： 推荐： macOS： windows：（不过原版不更新了，汉化的就没下文了）

npm存储库被滥用 中国开发者上传《武林外传》等大量盗版视频

npm存储库被滥用 中国开发者上传《武林外传》等大量盗版视频 谁需要 YouTube？开发人员找到了自己的视频托管服务近来，npm、PyPI 和 GitHub 等软件开发存储库的用户发现了一些独特的使用案例，这些案例在技术上偏离了这些平台设计的核心目的存储软件工件。发布到这些服务的补丁和软件包经常包含恶意代码、恶意软件研究样本以及电影、影片和电子书等媒体内容。虽然多媒体资产当然可以而且经常是合法软件应用程序不可或缺的一部分，但 今天被抓获并被实时从 npm 注册表中清除的748 个软件包却包含视频文档，而且还有电视连续剧《武林外传》的盗版文档。这些软件包被追踪为sonatype-2024-0284，，每个软件包的大小大约为54.5 MB ，命名时使用了"wlwz"（武林外传）前缀，后面跟着一组数字，也许是为了表示下载和处理这些软件包的顺序，以重建其中包含的整个剧集。时间戳显示，这些软件包至少从 2023 年 12 月 4 日起就一直存在于 npm 注册表中，但 GitHub 本周开始将它们从注册表中移除。这些工件背后的 npm 用户名为wlwz，其前缀就包含在这些软件包的名称中。每个软件包中都有以".ts"扩展名结尾的视频片段，这表明这些片段是从 DVD 和蓝光光盘中翻录的。(这里的".ts"扩展名不能与TypeScript 混淆）。有些软件包（如"wlwz-2312"）在 JSON 文件中包含普通话字幕。这起事件与 2022 年的事件如出一辙，当时中国的开发人员被发现（滥用）GitHub 和 npm来存储成千上万本电子书，这可能是规避国家审查的一种手段。不过，这也完全有可能是滥用注册表来托管盗版材料。我们经常发现并报道开放源码注册表充斥着数以百计的加密货币、垃圾软件包和依赖性混淆恶意软件的事件，这些事件说明了用户（和攻击者）使用此类注册表的创新方式，以及他们看似良性的行为如何最终威胁到这些平台乃至整个软件供应链的完整性和卫生。总之，不要把视频上传到开放源码软件注册中心：至少你肯定违反了他们的服务条款。 ... PC版： 手机版：