推特用戶 @Stephen Lacy 發(fā)現(xiàn) GitHub 上存在大規(guī)模的混淆惡意攻擊，目前 GitHub 上有超過 35,000 個惡意文件 / 克隆倉庫，包括 crypto、golang、python、js、bash、docker、k8s 等知名項(xiàng)目。

成都創(chuàng)新互聯(lián)專注于洛陽網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠為您提供洛陽營銷型網(wǎng)站建設(shè)，洛陽網(wǎng)站制作、洛陽網(wǎng)頁設(shè)計(jì)、洛陽網(wǎng)站官網(wǎng)定制、成都微信小程序服務(wù)，打造洛陽網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供洛陽網(wǎng)站排名全網(wǎng)營銷落地服務(wù)。

這些惡意文件 / 克隆倉庫會附帶一行惡意代碼：

hxxp://ovz1.j19544519.pr46m.vps.myjino[.]ru

它不僅泄露了用戶的環(huán)境變量 ，而且還包含一個單行后門，會將腳本、應(yīng)用程序、筆記本電腦（電子應(yīng)用程序）等整個 ENV 發(fā)送到攻擊者的服務(wù)器，ENV 包括受害者的安全密鑰、AWS 訪問密鑰、加密密鑰等帳戶憑證。

在 GiuHub 搜索這行惡意代碼會出現(xiàn) 35788 個代碼結(jié)果，其中約 13000 個搜索結(jié)果來自一個名為 “redhat-operator-ecosystem” 的倉庫，這個庫現(xiàn)在已從 GitHub 中刪除。

這些惡意攻擊偽裝得非常好，看起來像人畜無害的提交，比如帶著 “bump version to 0.3.11” 之類的消息：

其中一些被混淆成合法的 PR，但其實(shí)倉庫沒有收到任何 PR，反而倉庫中的每個 go 文件都被感染了：

其中一些克隆倉庫的歷史提交記錄包括來自原作者的提交，但這些提交未經(jīng) GPG 驗(yàn)證，意味著這是攻擊者通過克隆倉庫偽裝的。除了原作者，惡意軟件也可能偽裝成其他開發(fā)者，但點(diǎn)進(jìn)去就會發(fā)現(xiàn)用戶不存在。

這部分惡意攻擊與 GiuHub 本身的漏洞相關(guān)，比如之前我們報(bào)道過的 Linus 利用 GitHub 漏洞發(fā)布惡作劇 README，用戶可以 “通過 git 電子郵件地址冒充用戶” ，然后利用 https://github.com/my/project/blob/ 這種 URL  發(fā)布任意提交。

目前大部分惡意文件都已被清理，但仍有新的在產(chǎn)生，建議大家使用官方項(xiàng)目存儲庫中的軟件，注意那些惡意仿冒域名的倉庫或分支 / 克隆，并使用 GPG 簽署每個提交。

分享名稱：GitHub出現(xiàn)超35000個惡意攻擊文件/克隆倉庫
鏈接地址：http://uogjgqi.cn/article/ccsodcs.html