查看原文
其他

GitHub出现大规模恶意提交,受影响仓库超35000个

SpringForAll 2022-09-05
关注我,回复关键字“spring”
免费领取Spring学习资料
出品 | OSC开源社区(ID:oschina2013)

推特用户 @Stephen Lacy 发现 GitHub 上存在大规模的混淆恶意软件攻击,目前有超过 35,000 个存储库受影响,包括 crypto、golang、python、js、bash、docker、k8s 等知名项目。

这些恶意软件攻击伪装得非常好,看起来像人畜无害的提交,比如带着 “bump version to 0.3.11” 之类的消息:

其中一些被混淆成合法的 PR,但其实仓库没有收到任何 PR,反而仓库中的每个 go 文件都被感染了:

其中一些仓库的历史记录包括来自原作者的提交,但该提交未经 GPG 验证,这就意味着提交是攻击者伪装的。除了原作者,恶意软件也可能伪装成其他开发者,但点进去就会发现用户不存在。

这部分恶意攻击与 GiuHub 本身的漏洞相关,比如之前我们报道过的 Linus 利用 GitHub 漏洞发布恶作剧 README,用户可以 “通过 git 电子邮件地址冒充用户” ,然后利用 https://github.com/my/project/blob/<faked_commit> 这种 URL  发布任意提交。

这些攻击会将脚本、应用程序、笔记本电脑(电子应用程序)等包括安全密钥、AWS 访问密钥、加密密钥等帐户凭证整个 ENV 发送到攻击者的服务器。目前大部分恶意攻击提交都已被清理,但仍有新的在产生,建议大家使用 GPG 签署每个提交。

相关链接:https://twitter.com/stephenlacy



END



Spring Cache缓存原理与Redis实践
如何优雅的自定义 ThreadPoolExecutor 线程池?
你见过最垃圾的代码长什么样?19 种垃圾代码片段!
为什么不推荐使用 BeanUtils 属性转换工具?
Spring Boot 实现各种参数校验及实现原理,非常实用!

关注后端面试那些事,回复【2022面经】

获取最新大厂Java面经

最后重要提示:高质量的技术交流群,限时免费开放,今年抱团最重要。想进群的,关注SpringForAll社区,回复关键词:加群,拉你进群。

点击“阅读原文”领取2022大厂面经
↓↓↓ 

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存