Kho chứa phần mềm độc hại được nhân bản GitHub để tấn công các nhà phát triển

Hàng ngàn GitHub các kho lưu trữ đã bị sao chép và các bản sao bao gồm phần mềm độc hại, như một kỹ sư phần mềm tên là Stephen Lacy đã có thể xác minh. Ông tính toán rằng có 35,000 kho lưu trữ nhân bản.

Trong khi việc nhân bản các kho lưu trữ mã nguồn mở là một thực tiễn phát triển phổ biến, trong trường hợp này, nó liên quan đến việc các tác nhân đe dọa tạo ra các bản sao của các dự án hợp pháp nhưng làm nhiễm bẩn chúng bằng mã độc hại để nhắm mục tiêu các nhà phát triển không nghi ngờ bằng những bản sao này.

GitHub cho biết họ đã xóa hầu hết các kho chứa mã độc sau khi nhận được báo cáo của các kỹ sư, mặc dù không có con số cụ thể.

Đây là khám phá

Hàng nghìn dự án bị ảnh hưởng là bản sao hoặc bản sao của các dự án hợp pháp được cho là do các tác nhân đe dọa tạo ra để giới thiệu phần mềm độc hại. Điều này có nghĩa là các dự án chính thức như tiền điện tử, golang, python, js, bash, docker và k8s không bị ảnh hưởng, nhưng một nhà phát triển có thể bắt gặp một bản sao mà không biết đó là gì.

Kỹ sư đã báo động đã xem xét một dự án mã nguồn mở mà Lacy đã “tìm thấy trên tìm kiếm của Google” và thấy những điều sau URL trong đoạn mã mà cô ấy đã chia sẻ trên Twitter.

Tôi đang khám phá ra những gì dường như là một cuộc tấn công phần mềm độc hại trên diện rộng @github.

- Hiện hơn 35k kho bị nhiễm
- Cho đến nay được tìm thấy trong các dự án bao gồm: tiền điện tử, golang, python, js, bash, docker, k8s
- Nó được thêm vào tập lệnh npm, hình ảnh docker và tài liệu cài đặt pic.twitter.com/rq3CBDw3r9

- Stephen Lacy (@stephenlacy) Tháng Tám 3, 2022

Nhà phát triển James Tucker đã chỉ ra rằng các kho sao chép có chứa URL độc hại chứa một cửa hậu một dòng. Những mối đe dọa này có thể cung cấp cho các tác nhân đe dọa những bí mật quan trọng như khóa API, mã thông báo, thông tin đăng nhập Amazon AWS và khóa mật mã của bạn.