微軟GitHub遭大規(guī)模攻擊，安全專家稱超過(guò)10萬(wàn)個(gè)存儲(chǔ)庫(kù)被感染

網(wǎng)絡(luò)安全公司 Apiiro 報(bào)告稱，GitHub 遭受了大規(guī)模攻擊，可能影響成千上萬(wàn)的人。這種攻擊涉及克隆安全且干凈的存儲(chǔ)庫(kù)，添加惡意的、模糊的代碼后重新上傳。

在 Apiiror 最近的一份報(bào)告中，安全研究和數(shù)據(jù)科學(xué)團(tuán)隊(duì)發(fā)現(xiàn)了一次大規(guī)模的攻擊。Apiiro 將其稱為“惡意存儲(chǔ)庫(kù)混淆”，并估計(jì)有超過(guò) 10 萬(wàn)個(gè) GitHub 存儲(chǔ)庫(kù)受到影響，甚至可能有數(shù)百萬(wàn)個(gè)。

報(bào)告稱：“在 GitHub 等類似平臺(tái)上輕松自動(dòng)生成賬戶和存儲(chǔ)庫(kù)，使用舒適的 API 和易于繞過(guò)的軟速率限制，再加上隱藏的大量存儲(chǔ)庫(kù)，使其成為秘密感染軟件供應(yīng)鏈的完美目標(biāo)。”

GitHub 存儲(chǔ)庫(kù)是 GitHub 用戶可以上傳代碼的地方，有一些非常受歡迎的存儲(chǔ)庫(kù)，經(jīng)常被很多人搜索和下載。在水坑攻擊（Watering Hole Attack）中，攻擊者下載流行的存儲(chǔ)庫(kù)，添加惡意代碼后重新上傳到 GitHub。一旦攻擊者重新上傳了惡意存儲(chǔ)庫(kù)，他們就會(huì)使用自動(dòng)化技術(shù)對(duì)存儲(chǔ)庫(kù)進(jìn)行數(shù)千次 fork 分叉，如下圖所示。然后，他們通過(guò)社交媒體、Discord 和其他方式向目標(biāo)受眾傳播假版本的存儲(chǔ)庫(kù)。

▲ 從存儲(chǔ)庫(kù)簡(jiǎn)介來(lái)看有數(shù)千次 fork

▲ 點(diǎn)擊查看詳情卻沒(méi)有信息

報(bào)告還稱：“GitHub 已收到通知，大部分惡意代碼庫(kù)已被刪除，但該活動(dòng)仍在繼續(xù)，試圖注入惡意代碼的攻擊正變得越來(lái)越普遍。”

IT之家從報(bào)告中獲悉，該攻擊于 2023 年 5 月開始，呈指數(shù)級(jí)增長(zhǎng)。這種攻擊似乎面臨一種“打地鼠”的情況，GitHub 必須在代碼上傳后嘗試檢測(cè)代碼，但可能為時(shí)已晚。隨著這些攻擊的繼續(xù)，越來(lái)越多的用戶可能會(huì)被感染。