代码托管平台 GitHub 评论被指滥用：通过知名存储库 URL 分发恶意软件

代码托管平台 GitHub 评论被指滥用：通过知名存储库 URL 分发恶意软件 在发表评论时，用户可以添加附件，该文件将上传到 GitHub 的 CDN 并使用以下格式的唯一 URL 与相关项目关联： https://www.github.com/{project_user}/{ repo_name}/files/{file_id}/{file_name} 在将文件添加到未保存的评论后，GitHub 会自动生成下载链接，而不是在发布评论后生成 URL，如上所示。这使得威胁行为者可以在不知情的情况下将他们的恶意软件附加到任何存储库。即使不发布或删除评论，这些文件也不会从 CDN 中删除，且 URL 会持续永久有效。 Bleepingcomputer via 匿名

GitHub 受到自动恶意分叉攻击正在大量分发恶意代码

GitHub 受到自动恶意分叉攻击正在大量分发恶意代码 该恶意软件分发活动现已传播到 GitHub，并扩大到至少数十万个受感染的存储库。根据安全公司 Apiiro 的说法，该代码下毒的活动包括以下几个步骤：克隆（clone）合法的存储库，用恶意软件加载程序感染它们，以相同的名称将更改后的文件上传到 GitHub，然后对有毒的存储库进行数千次分叉（fork）和星标（star），并在社交媒体渠道、论坛和网站上推广受感染的代码库。此后，寻找有用代码的开发人员可能会发现一个被描述为有用且乍一看似乎合适的代码库，但他们的数据却被运行恶意 Python 代码和二进制可执行文件的隐藏负载窃取。 以上策略均可自动化部署，根据扫描结果粗略估计至少有数十万个恶意代码库被生成，即使只有较小比例在审核过程中幸存，数量也有上千个。研究人员表示，GitHub 为这种恶意软件分发链提供了有效方法，因为它支持自动生成帐户和存储库、友好的 API 和软速率限制以及其庞大的规模。因此 GitHub 当前除了移除被举报的仓库外，并没有更加有效的方法预防该攻击过程。

GitHub遭到大规模持续性的恶意存储库攻击 已删除数百万个带毒存储库

GitHub遭到大规模持续性的恶意存储库攻击 已删除数百万个带毒存储库 犯罪团伙选择拿 GitHub 当目标自然也是很有道理的，GitHub 在谷歌搜索上的权重非常高、点击量更大，不少用户其实无法分辨 GitHub 上的项目是原项目还是其他人 fork 的版本，因此也更容易中招。但这种自动化、大规模的对 GitHub 展开袭击还是很少见的，犯罪团伙自然知道如此规模的攻击必然会引起 GitHub 的注意以及进行技术对抗，但犯罪团伙还是这么干了，说明他们也有自信自己的自动化系统可以在 GitHub 的围追堵截下继续工作。事实上也确实如此，GitHub 目前已经删除了数百万个有问题的存储库，这些存储库主要 fork 一些大的、知名的存储库，被 fork 的存储库大约有 10 万个。这种也属于供应链攻击，而针对 GitHub 发起的供应链攻击数不胜数，但是出现百万级别的恶意存储库也是极为少见的，目前 GitHub 正在使用人工审查 + 大规模机器学习检测来删除这些恶意存储库，然而还是有一些携带后门的存储库成为漏网之鱼，这些漏网之鱼有可能会被用户下载。目前没有证据表明这些漏网之鱼的生命周期是多久，但 GitHub 哪怕是迟了个一两天才把漏网之鱼检测出来，在这一两天里可能也会有用户中招。所以，下次从 GitHub 上下载内容时记得看看 issues、提交历史、star 数作为参考，避免从搜索引擎进入了 fork 的存储库带来安全风险。 ... PC版： 手机版：

GitHub评论功能被用来冒充微软托管恶意软件 暂时还未解决问题

GitHub评论功能被用来冒充微软托管恶意软件 暂时还未解决问题 为什么说是设计问题：以微软托管在 GitHub 上的 vcpkg 项目为例，这个项目开启了 issues 反馈，用户提交一个新的 issue 后其他用户可以在下面评论。评论功能支持附带文件，例如当上传一个名为的文件时，GitHub 将会这个文件生成永久 URL 并附加在 vcpkg 项目下。即便用户删除评论这个文件也会被保留下来并继续提供永久访问，甚至用户都不需要真提交评论，直接上传文件就好了。这样这个恶意文件就可以通过 https://github [.] com/microsoft/vcpkg/files/14125503/ 下载。由于这个地址看起来就像是微软官方的文件，因此在一些场合中更容易钓鱼，这也是为什么黑客看中 GitHub 这个功能并进行滥用的原因。项目所有者不知情：正如上文提到的那样，上传一个文件不用真发布评论，或者发布后立即删除就可以获取这个文件的永久链接，而项目的维护者是不知道自己的项目路径下还存在这种恶意软件的。从某些方面来说这可能也会对一些公司的声誉造成影响，问题是这个问题还不太容易解决，因为它属于 GitHub 的设计问题，GitHub 显然不能一刀切直接关闭这个功能。所以后续 GitHub 如何解决问题还是个难题，可能需要专门新建一个临时文件路径来托管这些文件，这样不影响使用但也不会托管在其他路径下。 ... PC版： 手机版：

黑客利用知名网站网址散布恶意软件 在URL中混淆二进制指令

黑客利用知名网站网址散布恶意软件 在URL中混淆二进制指令 安全分析公司 Mandiant 最近发现了一个"前所未见"的攻击链，该攻击链至少在两个不同的网站上使用 Base 64 编码来传输三阶段恶意软件的第二阶段有效载荷。这两个网站分别是科技网站 Ars Technica 和视频托管网站 Vimeo。一位用户在 Ars Technica 论坛上发布了一张披萨的图片，并配文"我喜欢披萨"。图片或文字本身没有任何问题。然而，这张照片是由第三方网站托管的，其 URL 包含 Base 64 字符串。Base 64 转换为 ASCII 后看起来像随机字符，但在这种情况下，它混淆了下载和安装恶意软件包第二阶段的二进制指令。在另一个案例中，一个相同的字符串出现在 Vimeo 上一个无害视频的描述中。Ars Technica 发言人说，在一位匿名用户向该网站举报图片（下图）的奇怪链接后，Ars Technica 删除了这个去年 11 月创建的账户。Mandiant说，它已确定该代码属于一个名为 UNC4990 的威胁行为者，自 2020 年以来，它一直在跟踪该行为者。对于大多数用户来说，这些指令没有任何作用。它只能在已经包含第一阶段恶意软件（explorer.ps1）的设备上运行。UNC4990 通过受感染的闪存盘传播第一阶段，这些闪存盘被配置为链接到托管在 GitHub 和 GitLab 上的文件。第二阶段被称为"空空间"，是一个在浏览器和文本编辑器中显示为空白的文本文件。然而，用十六进制编辑器打开它，就会看到一个二进制文件，该文件使用空格、制表符和新行等巧妙的编码方案来创建可执行的二进制代码。Mandiant承认以前从未见过这种技术。Mandiant 的研究员Yash Gupta表示："这是我们看到的一种不同的、新颖的滥用方式，很难被发现。是我们在恶意软件中通常见不到的。这对我们来说非常有趣，也是我们想要指出的。"执行后，Emptyspace 会不断轮询命令和控制服务器，并根据命令下载一个名为"Quietboard"的后门。UNC4990 利用该后门在受感染的机器上安装加密货币矿机。不过，Mandiant 表示，它只追踪到一个安装 Quietboard 的实例。鉴于 Quietboard 的罕见性，UNC4990 的攻击造成的威胁微乎其微。但是，explorer.ps1 和 Emptyspace 的感染率可能会更高，从而使用户易受攻击。Mandiant 在其博客中解释了如何检测感染。 ... PC版： 手机版：

Gitea是一个用Go编写的社区管理的轻量级代码托管解决方案，和GitHub, Bitbucket or Gitlab等比较类似

Gitea是一个用Go编写的社区管理的轻量级代码托管解决方案，和GitHub, Bitbucket or Gitlab等比较类似。它是在MIT许可下发布的 Gitea的首要目标是创建一个极易安装，运行非常快速，安装和使用体验良好的自建 Git 服务，采用Go作为后端语言，只要生成一个可执行程序即可。支持跨平台，支持 Linux, macOS 和 Windows 以及各种架构，除了x86，amd64，还包括 ARM 和 PowerPC。 功能特性 支持活动时间线 支持 SSH 以及 HTTP/HTTPS 协议 支持 SMTP、LDAP 和反向代理的用户认证 支持反向代理子路径 支持用户、组织和仓库管理系统 支持添加和删除仓库协作者 支持仓库和组织级别 Web 钩子（包括 Slack 集成） 支持仓库 Git 钩子和部署密钥 支持仓库工单（Issue）、合并请求（Pull Request）以及 Wiki 支持迁移和镜像仓库以及它的 Wiki 支持在线编辑仓库文件和 Wiki 支持自定义源的 Gravatar 和 Federated Avatar 支持邮件服务 支持后台管理面板 支持 MySQL、PostgreSQL、SQLite3、MSSQL 和 TiDB(MySQL) 数据库 支持多语言本地化（21 种语言） 支持软件包注册中心（Composer/Conan/Container/Generic/Helm/Maven/NPM/Nuget/PyPI/RubyGems） ||||