社区编辑申请
注册/登录
Github突遭大规模恶意攻击,大量加密密钥可能泄露!
安全 新闻
爆料者在推特上表示,目前已经向Github报告,并提醒各位不要安装奇奇怪怪的package。目前官方已删除大部分恶意clone。

Github又被人恶意攻击了?还是涉及35000资源库的大规模攻击? 这个消息不是官方消息,是推特用户@Stephen Lacy在推特上发出来的。 

图片 

个人资料显示,Stephen Lacy是一位软件工程师,从事领域为密码学和开源,还是一位游戏开发者,开发了一款名为「PlayGodfall」的游戏。 

图片 

他声称,自己发现了Github上的广泛的大规模恶意攻击行为。目前已有超过35000个资源库受到感染。 (不久后他作出更正,受感染的为35000+「代码段」,而不是资源库) Lacy表示,目前,包括crypto, golang, python, js, bash, docker, k8s在内的著名资源库均受到影响,波及范围包括NPM脚本、Docker图像和安装文件等。

 图片 

他表示,目前看上去这些恶意的commit看上去人畜无害,起的名字看起来像是例行的版本更新。

 图片 

而从资源库历史变动记录看,有些commit来自于原库主,有些则显示用户不存在,还有一些属于归档资源库。 至于攻击的方式,攻击者会将库中的多种加密信息上传到自己的服务器上,包括安全密钥、AWS访问密钥、加密密钥等。

 图片 

上传后,攻击者就可以在你的服务器上运行任意代码。 听上去很可怕,有没有? 而除了窃取加密信息外,攻击者还会构建假的资源库链接,并以合法的资源库形式向Github提交clone,从而甩锅给资源库的原作者。

 图片 

Lacy表示,这些漏洞和攻击是他浏览一个通过谷歌搜索找到的project时发现的,所以首先要注意的是,不要随便安装网上搜到的什么奇奇怪怪的package。 另外,要防止中招的最好方法是,使用GPG加密签名。 目前,Lacy表示,已经向Github报告了他发现的情况,目前暂时还未见Github官方作出回应。

  图片

最新消息是,据BleepingComputer报道, Github在收到恶意事件报告后,已经清除了大部分包含恶意内容的资源库。 按照这个网站的说法 ,实际上,35000个原始资源库并未「被劫持」 ,而是在clone中被添加了恶意内容。

数以千计的后门被添加到了正常合法项目的副本里(fork或clone),以达到推送恶意软件的目的。


责任编辑:张燕妮 来源: 新智元
相关推荐

2022-08-05 15:35:12

恶意文件网络攻击

2022-08-04 18:58:18

Github恶意软件攻击

2019-03-23 12:35:35

GitHub代码开发者

2021-05-18 11:21:53

加密货币数据网络安全

2021-04-05 17:55:16

GitHub恶意软件加密货币

2022-04-16 21:32:03

GitHub攻击OAuth

2022-03-23 16:03:51

加密货币私钥网络安全

2019-05-06 08:36:59

黑客比特币攻击

2021-06-08 05:43:38

GitHub恶意软件托管

2021-06-07 09:19:59

GitHub 恶意软件微软

2022-03-20 18:22:31

网络犯罪加密货币网络攻击

2021-08-16 10:05:57

2022-06-06 12:25:51

逻辑炸弹恶意代码

2021-10-15 09:58:18

2020-07-29 07:00:00

GitHub漏洞密钥

2020-11-10 15:08:58

GitHub泄露源代码

2020-11-10 08:14:54

GitHub

2021-03-18 10:17:31

漏洞GitHub代码

2022-04-20 10:32:33

加密货币区块链数字货币

2020-11-04 14:55:06

谷歌GitHub漏洞

同话题下的热门内容

分类分级是数据安全的必由之路!关于Web渗透测试需要知道的一切:完整指南一起看看21个网络安全优秀实践针对Windows和Linux ESXi服务器,GwisinLocker勒索软件发起勒索攻击如何保护智能家居避免黑客攻击理解工作角色和选择网络安全职业的指南新型在野远控木马Woody RAT,针对俄罗斯航空航天组织新型Linux僵尸网络RapperBot暴力破解SSH服务器

编辑推荐

付费成人网站OnlyFans数百名创作者内容泄露,可能有你关注的YouTube博主2019年最近发现的网络安全事件权威解读 | 网络安全等级保护2.0标准体系以及主要标准2019年网络安全事件回顾(国际篇)2019年网络安全事件回顾(国内篇)
我收藏的内容
点赞
收藏

51CTO技术栈公众号