Hàng ngàn GitHub các kho lưu trữ đã bị sao chép và các bản sao bao gồm phần mềm độc hại, như một kỹ sư phần mềm tên là Stephen Lacy đã có thể xác minh. Ông tính toán rằng có 35,000 kho lưu trữ nhân bản.
Trong khi việc nhân bản các kho lưu trữ mã nguồn mở là một thực tiễn phát triển phổ biến, trong trường hợp này, nó liên quan đến việc các tác nhân đe dọa tạo ra các bản sao của các dự án hợp pháp nhưng làm nhiễm bẩn chúng bằng mã độc hại để nhắm mục tiêu các nhà phát triển không nghi ngờ bằng những bản sao này.
GitHub cho biết họ đã xóa hầu hết các kho chứa mã độc sau khi nhận được báo cáo của các kỹ sư, mặc dù không có con số cụ thể.
Đây là khám phá
Hàng nghìn dự án bị ảnh hưởng là bản sao hoặc bản sao của các dự án hợp pháp được cho là do các tác nhân đe dọa tạo ra để giới thiệu phần mềm độc hại. Điều này có nghĩa là các dự án chính thức như tiền điện tử, golang, python, js, bash, docker và k8s không bị ảnh hưởng, nhưng một nhà phát triển có thể bắt gặp một bản sao mà không biết đó là gì.
Kỹ sư đã báo động đã xem xét một dự án mã nguồn mở mà Lacy đã “tìm thấy trên tìm kiếm của Google” và thấy những điều sau URL trong đoạn mã mà cô ấy đã chia sẻ trên Twitter.
Tôi đang khám phá ra những gì dường như là một cuộc tấn công phần mềm độc hại trên diện rộng @github.
- Hiện hơn 35k kho bị nhiễm
- Cho đến nay được tìm thấy trong các dự án bao gồm: tiền điện tử, golang, python, js, bash, docker, k8s
- Nó được thêm vào tập lệnh npm, hình ảnh docker và tài liệu cài đặt pic.twitter.com/rq3CBDw3r9- Stephen Lacy (@stephenlacy) Tháng Tám 3, 2022
Nhà phát triển James Tucker đã chỉ ra rằng các kho sao chép có chứa URL độc hại chứa một cửa hậu một dòng. Những mối đe dọa này có thể cung cấp cho các tác nhân đe dọa những bí mật quan trọng như khóa API, mã thông báo, thông tin đăng nhập Amazon AWS và khóa mật mã của bạn.
- Bitcoin
- blockchain
- tuân thủ blockchain
- hội nghị blockchain
- coinbase
- thiên tài
- Đồng xu
- Sự đồng thuận
- hội nghị tiền điện tử
- khai thác crypto
- Crypto Tin tức
- tin tức về tiền điện tử
- cryptocurrencies
- cryptocurrency
- Phân quyền
- Defi
- Tài sản kỹ thuật số
- ethereum
- học máy
- mã thông báo không thể thay thế
- plato
- Plato ai
- Thông tin dữ liệu Plato
- khối chuỗi trung tâm
- PlatoDữ liệu
- Platogaming
- Polygon
- bằng chứng cổ phần
- xu hướng
- W3
- zephyrnet