GitHub 開發者 James Tucker 指出,帶有惡意 URL 的克隆存儲庫已經滲透到用戶的環境變量中,並且還包含一個單行後門(one-line backdoor)。
8 月 3 日,星期三,流行的開發者平台 GitHub 面臨著一場大規模的惡意軟件攻擊,一天之內就有超過 35,000 次“代碼命中 Code Hits”。有趣的是,這恰好發生在超過 8000索拉納錢包被盜。
GitHub 開發者 Stephen Lucy 本人報告了這次廣泛的攻擊。開發人員在審查項目時遇到了這個問題。花邊寫了:
I am uncovering what seems to be a massive widespread malware attack on @github.
— Stephen Lacy (@stephenlacy) August 3, 2022
– Currently over 35k repositories are infected
– So far found in projects including: crypto, golang, python, js, bash, docker, k8s
– It is added to npm scripts, docker images and install docs pic.twitter.com/rq3CBDw3r9
最近對 Github 的攻擊發生在許多項目方的公開程式碼上,包括 Crypto、Golang、Python、JavaScript、Bash、Docker 和 Kubernetes。惡意軟件攻擊專門針對安裝文檔、NPM 腳本和 docker 映像。這是為項目捆綁常用 shell 命令的一種更方便的方法。
Github 上惡意軟件攻擊的性質
為了訪問任何關鍵數據並躲避開發人員,攻擊者首先創建了一個虛假存儲庫。然後攻擊者將合法項目的克隆推送到 GitHub。根據調查,攻擊者將其中幾個克隆存儲庫作為“拉取請求(Pull Request)”推送。
另一位 GitHub 開發人員 James Tucker 指出,帶有惡意 URL 的克隆存儲庫已經滲透到用戶的環境變量中,並且還包含一個單行後門。洩露環境可以為威脅參與者提供一些重要的秘密。這包括 Amazon AWS 憑證、API 密鑰、令牌、加密密鑰等。
但是單行後門(one-line backdoor)允許遠程攻擊者在所有在他們的計算機上運行腳本的人的系統上執行任意代碼。根據 Bleeping 計算機,活動時間線的結果存在偏差。上個月,攻擊者使用惡意代碼更改了大部分存儲庫。幾個小時前,GitHub 從其平台上刪除了一些惡意代碼。在周三的更新中,GitHub著名的項目:
GitHub is investigating the Tweet published Wed, Aug. 3, 2022:
— GitHub Security (@GitHubSecurity) August 3, 2022
* No repositories were compromised
* Malicious code was posted to cloned repositories, not the repositories themselves
* The clones were quarantined and there was no evident compromise of GitHub or maintainer accounts