Tusindvis af GitHub repositories er blevet kopieret, og klonerne indeholder malware, som en softwareingeniør ved navn Stephen Lacy har været i stand til at verificere. Han beregner, at der er 35,000 klonede depoter.
Mens kloning af open source-depoter er en almindelig udviklingspraksis, involverer det i dette tilfælde trusselsaktører, der skaber kopier af legitime projekter, men kontaminerer dem med ondsindet kode for at målrette intetanende udviklere med disse kloner.
GitHub har sagt, at det allerede har fjernet de fleste af de ondsindede depoter efter at have modtaget ingeniørernes rapport, selvom der ikke er noget konkret tal.
Dette var Opdagelsen
De tusindvis af berørte projekter er kopier eller kloner af legitime projekter, der angiveligt er skabt af trusselsaktører om at indføre malware. Det betyder, at officielle projekter som crypto, golang, python, js, bash, docker og k8s ikke er blevet påvirket, men en udvikler kan støde på en kopi uden at vide, hvad det er.
Ingeniøren, der slog alarm, gennemgik et open source-projekt, som Lacy havde "fundet på en Google-søgning" og så følgende URL i den kode, hun delte på Twitter.
Jeg er ved at afdække, hvad der ser ud til at være et massivt udbredt malwareangreb på @github.
– I øjeblikket er over 35 depoter inficeret
– Indtil videre fundet i projekter, herunder: crypto, golang, python, js, bash, docker, k8s
– Det føjes til npm-scripts, docker-billeder og installationsdokumenter pic.twitter.com/rq3CBDw3r9— Stephen Lacy (@stephenlacy) August 3, 2022
Udvikler James Tucker påpegede, at de klonede depoter, der indeholdt den ondsindede URL, indeholdt en en-linje bagdør. Disse trusler kan give trusselsaktører vigtige hemmeligheder såsom dine API-nøgler, tokens, Amazon AWS-legitimationsoplysninger og kryptografiske nøgler.
- Bitcoin
- blockchain
- overholdelse af blockchain
- blockchain konference
- coinbase
- coingenius
- Coinnounce
- Konsensus
- kryptokonference
- krypto minedrift
- Crypto Nyheder
- cryptocurency nyheder
- cryptocurrencies
- cryptocurrency
- decentral
- Defi
- Digitale aktiver
- ethereum
- machine learning
- ikke fungibelt symbol
- plato
- platon ai
- Platon Data Intelligence
- Platonblockchain
- PlatoData
- platogaming
- Polygon
- bevis for indsatsen
- trend
- W3
- zephyrnet