数百万个GitHub仓库被发现感染恶意代码

最近，安全公司Apiiro的一份报告揭示了一种名为“仓库混淆”攻击，该攻击已经影响了GitHub上的超过100,000个仓库。

这种攻击利用了Git版本控制系统处理仓库名称的漏洞，可能导致恶意代码被注入到合法的仓库中。

这突显了需要改进的安全措施，以防止此类攻击并保护存储在GitHub上的代码的完整性。

这种攻击技术利用了GitHub平台的广泛规模和未受保护的可访问性，对未做好准备的开发者发起攻击。

攻击是如何进行的？

1.克隆流行仓库：攻击者针对像TwitterFollowBot、WhatsappBOT等流行仓库，并创建它们的仿制副本。

2.注入恶意软件：这些副本中插入了旨在窃取登录凭证、浏览器数据和其他敏感信息的恶意软件。

3.上传到GitHub：感染了恶意代码的仓库以与原仓库相同的名称重新上传到GitHub，希望不知情的开发者会误选它们。

4.传播并欺骗：攻击者使用自动化创建这些恶意仓库的数千个副本，并通过开发者常去的在线论坛和平台推广它们。

在不知情的开发者使用这些被污染的仓库时，他们会无意中解包一个包含七层混淆的隐藏有效载荷。

这个过程涉及提取恶意Python代码和一个可执行的二进制文件，特别是一个修改过的BlackCap-Grabber版本。

这段恶意代码旨在收集敏感信息，如来自各种应用程序的登录凭证、与浏览器相关的数据（如密码和cookies）以及其他机密信息。

之后，它将所有收集的数据传输给攻击者的命令和控制服务器。这会引发一系列额外的恶意活动。

攻击的范围

根据Apiiro的研究，自2023年中期开始的攻击活动在近几个月中势头不断增强。

已确认感染的仓库数量已超过100,000个，实际数量有可能达到数百万。

• 2023年5月：包含当前有效载荷部分的恶意包出现在PyPI（Python包索引）上。

• 2023年7月至8月：在PyPI移除恶意包后，攻击者转向直接将感染的仓库上传到GitHub。

• 2023年11月至今：检测到超过100,000个感染的仓库，数量还在不断增长。

来源：cybersecuritynews

原文始发于微信公众号（星尘安全）：数百万个GitHub仓库被发现感染恶意代码