Github突遭大规模恶意攻击,大量加密密钥可能泄露!

2022 年 8 月 4 日 新智元



  新智元报道  

编辑:David
【新智元导读】爆料者在推特上表示,目前已经向Github报告,并提醒各位不要安装奇奇怪怪的package。目前官方已删除大部分恶意clone。

Github又被人恶意攻击了?还是涉及35000资源库的大规模攻击?
 
这个消息不是官方消息,是推特用户@Stephen Lacy在推特上发出来的。
 
 
个人资料显示,Stephen Lacy是一位软件工程师,从事领域为密码学和开源,还是一位游戏开发者,开发了一款名为「PlayGodfall」的游戏。
 
 
他声称,自己发现了Github上的广泛的大规模恶意攻击行为。目前已有超过35000个资源库受到感染。
 
(不久后他作出更正,受感染的为35000+「代码段」,而不是资源库)
 
Lacy表示,目前,包括crypto, golang, python, js, bash, docker, k8s在内的著名资源库均受到影响,波及范围包括NPM脚本、Docker图像和安装文件等。
 
 
他表示,目前看上去这些恶意的commit看上去人畜无害,起的名字看起来像是例行的版本更新。
 
 
而从资源库历史变动记录看,有些commit来自于原库主,有些则显示用户不存在,还有一些属于归档资源库。
 
至于攻击的方式,攻击者会将库中的多种加密信息上传到自己的服务器上,包括安全密钥、AWS访问密钥、加密密钥等。
 
 
上传后,攻击者就可以在你的服务器上运行任意代码。
 
听上去很可怕,有没有?
 
而除了窃取加密信息外,攻击者还会构建假的资源库链接,并以合法的资源库形式向Github提交clone,从而甩锅给资源库的原作者。
 
 
Lacy表示,这些漏洞和攻击是他浏览一个通过谷歌搜索找到的project时发现的,所以首先要注意的是,不要随便安装网上搜到的什么奇奇怪怪的package。
 
另外,要防止中招的最好方法是,使用GPG加密签名。
 
目前,Lacy表示,已经向Github报告了他发现的情况,目前暂时还未见Github官方作出回应。

 

 


最新消息是,据BleepingComputer报道, Github在收到恶意事件报告后,已经清除了大部分包含恶意内容的资源库。

 

按照这个网站的说法 ,实际上,35000个原始资源库并未「被劫持」 ,而是在clone中被添加了恶意内容。数以千计的后门被添加到了正常合法项目的副本里(fork或clone),以达到推送恶意软件的目的。


参考资料:
https://twitter.com/stephenlacy/status/1554697077430505473
https://www.bleepingcomputer.com/news/security/35-000-code-repos-not-hacked-but-clones-flood-github-to-serve-malware/



登录查看更多
0

相关内容

图数据上的隐私攻击与防御技术
专知会员服务
26+阅读 · 2022年4月28日
UCL最新「机器学习隐私」综述论文,概述隐私挑战
专知会员服务
36+阅读 · 2021年7月11日
专知会员服务
39+阅读 · 2020年12月20日
专知会员服务
38+阅读 · 2020年12月1日
【NeurIPS 2020】对图神经网络更切实的对抗式攻击
专知会员服务
23+阅读 · 2020年11月5日
【复旦大学-SP2020】NLP语言模型隐私泄漏风险
专知会员服务
24+阅读 · 2020年4月20日
GitHub 弃用 git.io!
CSDN
0+阅读 · 2022年4月27日
Log4j 漏洞还没忙完,新的漏洞又出现了!
攻击蓝牙网络
计算机与网络安全
17+阅读 · 2019年4月9日
国家自然科学基金
0+阅读 · 2015年12月31日
国家自然科学基金
3+阅读 · 2014年12月31日
国家自然科学基金
1+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2009年12月31日
国家自然科学基金
0+阅读 · 2009年12月31日
Arxiv
0+阅读 · 2022年10月1日
已删除
Arxiv
32+阅读 · 2020年3月23日
VIP会员
相关基金
国家自然科学基金
0+阅读 · 2015年12月31日
国家自然科学基金
3+阅读 · 2014年12月31日
国家自然科学基金
1+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2009年12月31日
国家自然科学基金
0+阅读 · 2009年12月31日
Top
微信扫码咨询专知VIP会员