数千 GitHub上 存储库已被复制,克隆包括恶意软件,正如一位名叫 Stephen Lacy 的软件工程师能够验证的那样。 他计算出有 35,000 个克隆存储库。
虽然开源存储库的克隆是一种常见的开发实践,但在这种情况下,它涉及威胁行为者创建合法项目的副本,但用恶意代码污染它们,以使用这些克隆来攻击毫无戒心的开发人员。
GitHub 表示,在收到工程师的报告后,它已经删除了大部分恶意存储库,但没有具体数字。
这就是发现
数千个受影响的项目是据称由威胁行为者创建的合法项目的副本或克隆,用于引入 恶意软件。 这意味着 crypto、golang、python、js、bash、docker 和 k8s 等官方项目没有受到影响,但开发人员可能会在不知道它是什么的情况下遇到一个副本。
发出警报的工程师查看了 Lacy “在 Google 搜索中找到的” 的一个开源项目,并看到了以下内容 网址 在她在 Twitter 上分享的代码中。
我正在发现似乎是大规模广泛的恶意软件攻击 @github.
– 目前有超过 35 个存储库被感染
- 迄今为止在项目中发现,包括:crypto、golang、python、js、bash、docker、k8s
- 它被添加到 npm 脚本、docker 图像和安装文档中 pic.twitter.com/rq3CBDw3r9——斯蒂芬·莱西(@stephenlacy) 2022 年 8 月 3 日
开发人员 James Tucker 指出,包含恶意 URL 的克隆存储库包含一个单行后门。 这些威胁可以为威胁参与者提供重要的秘密,例如您的 API 密钥、令牌、亚马逊 AWS 凭证和加密密钥。