GitHub出现超35000个恶意攻击文件
2022-8-7 10:24:24 Author: 雾晓安全(查看原文) 阅读量:11 收藏

    推特用户@Stephen Lacy发现GitHub上存在大规模的混淆恶意攻击,目前 GitHub上有超过35,000个恶意文件/克隆仓库,包括crypto、golang、python、js、bash、docker、k8s等知名项目。这些恶意文件/克隆仓库会附带一行恶意代码:

1hxxp://ovz1.j19544519.pr46m.vps.myjino[.]ru
它不仅泄露了用户的环境变量,而且还包含一个单行后门,会将脚本、应用程序、笔记本电脑(电子应用程序)等整个ENV发送到攻击者的服务器,ENV包括受害者的安全密钥、AWS访问密钥、加密密钥等帐户凭证。
在GiuHub搜索这行恶意代码会出现35788个代码结果,其中约13000个搜索结果来自一个名为“redhat-operator-ecosystem”的仓库,这个库现在已从GitHub中删除。

这些恶意攻击伪装得非常好,看起来像人畜无害的提交,比如带着“bump version to0.3.11”之类的消息,其中一些被混淆成合法的PR,但其实仓库没有收到任何PR,反而仓库中的每个go文件都被感染了;一些克隆仓库的历史提交记录包括来自原作者的提交,但这些提交未经GPG验证,意味着这是攻击者通过克隆仓库伪装的,除了原作者,恶意软件也可能伪装成其他开发者,但点进去就会发现用户不存在。

目前大部分恶意文件都已被清理,但仍有新的在产生,建议大家使用官方项目存储库中的软件,注意那些恶意仿冒域名的仓库或分支/克隆,并使用GPG签署每个提交。

来源:安全圈


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2NDM2MTE5Mw==&mid=2247494052&idx=2&sn=0ca9d4f820589e8c717fcbee7f624045&chksm=ce682622f91faf34b4fd363f3fbd70e4ff7205523c1b3a12e1f83d06d09f1ce5aa4b9710a255#rd
如有侵权请联系:admin#unsafe.sh