GitHub评论功能被用来冒充微软托管恶意软件

GitHub评论功能被用来冒充微软托管恶意软件目前GitHub被发现了一个严重的设计问题，有攻击者利用项目评论功能冒充微软等公司来分发恶意软件，并且这种情况已经持续有一段时间了。以微软托管在GitHub上的vcpkg项目为例，这个项目开启了issues反馈，用户提交一个新的issue后其他用户可以在下面评论。评论功能支持附带文件，例如当上传一个名为Cheat.Lab.2.7.2.zip的文件时，GitHub将会这个文件生成永久URL并附加在vcpkg项目下。即便用户删除评论这个文件也会被保留下来并继续提供永久访问，甚至用户都不需要真提交评论，直接上传文件就好了。这样这个恶意文件就可以通过https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip下载。由于这个地址看起来就像是微软官方的文件，因此在一些场合中更容易钓鱼。关注频道@TestFlightCN

GitHub评论功能被用来冒充微软托管恶意软件 暂时还未解决问题

GitHub评论功能被用来冒充微软托管恶意软件暂时还未解决问题为什么说是设计问题：以微软托管在GitHub上的vcpkg项目为例，这个项目开启了issues反馈，用户提交一个新的issue后其他用户可以在下面评论。评论功能支持附带文件，例如当上传一个名为Cheat.Lab.2.7.2.zip的文件时，GitHub将会这个文件生成永久URL并附加在vcpkg项目下。即便用户删除评论这个文件也会被保留下来并继续提供永久访问，甚至用户都不需要真提交评论，直接上传文件就好了。这样这个恶意文件就可以通过https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip下载。由于这个地址看起来就像是微软官方的文件，因此在一些场合中更容易钓鱼，这也是为什么黑客看中GitHub这个功能并进行滥用的原因。项目所有者不知情：正如上文提到的那样，上传一个文件不用真发布评论，或者发布后立即删除就可以获取这个文件的永久链接，而项目的维护者是不知道自己的项目路径下还存在这种恶意软件的。从某些方面来说这可能也会对一些公司的声誉造成影响，问题是这个问题还不太容易解决，因为它属于GitHub的设计问题，GitHub显然不能一刀切直接关闭这个功能。所以后续GitHub如何解决问题还是个难题，可能需要专门新建一个临时文件路径来托管这些文件，这样不影响使用但也不会托管在其他路径下。...PC版：https://www.cnbeta.com.tw/articles/soft/1428186.htm手机版：https://m.cnbeta.com.tw/view/1428186.htm

GitHub 受到自动恶意分叉攻击正在大量分发恶意代码

GitHub受到自动恶意分叉攻击正在大量分发恶意代码该恶意软件分发活动现已传播到GitHub，并扩大到至少数十万个受感染的存储库。根据安全公司Apiiro的说法，该代码下毒的活动包括以下几个步骤：克隆（clone）合法的存储库，用恶意软件加载程序感染它们，以相同的名称将更改后的文件上传到GitHub，然后对有毒的存储库进行数千次分叉（fork）和星标（star），并在社交媒体渠道、论坛和网站上推广受感染的代码库。此后，寻找有用代码的开发人员可能会发现一个被描述为有用且乍一看似乎合适的代码库，但他们的数据却被运行恶意Python代码和二进制可执行文件的隐藏负载窃取。以上策略均可自动化部署，根据扫描结果粗略估计至少有数十万个恶意代码库被生成，即使只有较小比例在审核过程中幸存，数量也有上千个。研究人员表示，GitHub为这种恶意软件分发链提供了有效方法，因为它支持自动生成帐户和存储库、友好的API和软速率限制以及其庞大的规模。因此GitHub当前除了移除被举报的仓库外，并没有更加有效的方法预防该攻击过程。——

GitHub遭到大规模持续性的恶意存储库攻击 已删除数百万个带毒存储库

GitHub遭到大规模持续性的恶意存储库攻击已删除数百万个带毒存储库犯罪团伙选择拿GitHub当目标自然也是很有道理的，GitHub在谷歌搜索上的权重非常高、点击量更大，不少用户其实无法分辨GitHub上的项目是原项目还是其他人fork的版本，因此也更容易中招。但这种自动化、大规模的对GitHub展开袭击还是很少见的，犯罪团伙自然知道如此规模的攻击必然会引起GitHub的注意以及进行技术对抗，但犯罪团伙还是这么干了，说明他们也有自信自己的自动化系统可以在GitHub的围追堵截下继续工作。事实上也确实如此，GitHub目前已经删除了数百万个有问题的存储库，这些存储库主要fork一些大的、知名的存储库，被fork的存储库大约有10万个。这种也属于供应链攻击，而针对GitHub发起的供应链攻击数不胜数，但是出现百万级别的恶意存储库也是极为少见的，目前GitHub正在使用人工审查+大规模机器学习检测来删除这些恶意存储库，然而还是有一些携带后门的存储库成为漏网之鱼，这些漏网之鱼有可能会被用户下载。目前没有证据表明这些漏网之鱼的生命周期是多久，但GitHub哪怕是迟了个一两天才把漏网之鱼检测出来，在这一两天里可能也会有用户中招。所以，下次从GitHub上下载内容时记得看看issues、提交历史、star数作为参考，避免从搜索引擎进入了fork的存储库带来安全风险。...PC版：https://www.cnbeta.com.tw/articles/soft/1421969.htm手机版：https://m.cnbeta.com.tw/view/1421969.htm

知名代码托管平台 GitHub 宣布了 Atom 软件开发环境已走到终点。

知名代码托管平台GitHub宣布了Atom软件开发环境已走到终点。作为GitHub在2011年推出的软件开发文本编辑器，该平台将于2022年12月15日归档Atom存储库和社区中剩余的所有其它资源。作为Electron框架的基础，Atom为包括微软VisualStudioCode、Slack和GitHubDesktop在内的数千款应用程序提供了支撑。但是近年来，随着更多新工具的出现，GitHub发现Atom社区的参与度有所下降。而在过去几个月里，除了简单的维护和安全更新，Atom本身也没有看到任何重大的功能开发。GitHub表示，未来它将重新专注于MicrosoftVisualStudioCode(VSCode)和GitHubCodespaces——后者也是该公司力推的云驱动型开发环境。与此同时，GitHub意识到仍有不少社区内开发者在使用Atom，并承认需要耗费一定的时间和精力，才能完成向替代解决方案的迁移工作。

黑客利用知名网站网址散布恶意软件 在URL中混淆二进制指令

黑客利用知名网站网址散布恶意软件在URL中混淆二进制指令安全分析公司Mandiant最近发现了一个"前所未见"的攻击链，该攻击链至少在两个不同的网站上使用Base64编码来传输三阶段恶意软件的第二阶段有效载荷。这两个网站分别是科技网站ArsTechnica和视频托管网站Vimeo。一位用户在ArsTechnica论坛上发布了一张披萨的图片，并配文"我喜欢披萨"。图片或文字本身没有任何问题。然而，这张照片是由第三方网站托管的，其URL包含Base64字符串。Base64转换为ASCII后看起来像随机字符，但在这种情况下，它混淆了下载和安装恶意软件包第二阶段的二进制指令。在另一个案例中，一个相同的字符串出现在Vimeo上一个无害视频的描述中。ArsTechnica发言人说，在一位匿名用户向该网站举报图片（下图）的奇怪链接后，ArsTechnica删除了这个去年11月创建的账户。Mandiant说，它已确定该代码属于一个名为UNC4990的威胁行为者，自2020年以来，它一直在跟踪该行为者。对于大多数用户来说，这些指令没有任何作用。它只能在已经包含第一阶段恶意软件（explorer.ps1）的设备上运行。UNC4990通过受感染的闪存盘传播第一阶段，这些闪存盘被配置为链接到托管在GitHub和GitLab上的文件。第二阶段被称为"空空间"，是一个在浏览器和文本编辑器中显示为空白的文本文件。然而，用十六进制编辑器打开它，就会看到一个二进制文件，该文件使用空格、制表符和新行等巧妙的编码方案来创建可执行的二进制代码。Mandiant承认以前从未见过这种技术。Mandiant的研究员YashGupta表示："这是我们看到的一种不同的、新颖的滥用方式，很难被发现。是我们在恶意软件中通常见不到的。这对我们来说非常有趣，也是我们想要指出的。"执行后，Emptyspace会不断轮询命令和控制服务器，并根据命令下载一个名为"Quietboard"的后门。UNC4990利用该后门在受感染的机器上安装加密货币矿机。不过，Mandiant表示，它只追踪到一个安装Quietboard的实例。鉴于Quietboard的罕见性，UNC4990的攻击造成的威胁微乎其微。但是，explorer.ps1和Emptyspace的感染率可能会更高，从而使用户易受攻击。Mandiant在其博客中解释了如何检测感染。...PC版：https://www.cnbeta.com.tw/articles/soft/1415489.htm手机版：https://m.cnbeta.com.tw/view/1415489.htm