Apiiro 的研究人员对使用恶意存储库对GitHub平台进行的大规模攻击活动进行了调查。专家们已经发现了超过 10 万个虚假存储库,它们模仿流行的开源项目来传播恶意软件。此类存储库的数量持续稳定增长。
正如专家解释的那样,黑客积极使用替换真实项目名称的策略。他们创建了一个与 GitHub 上的流行项目相同的存储库,名称尽可能相似。攻击者希望用户在输入名称时输入错误并下载受感染的代码。此方法通常在使用包管理器时使用,其中命令行留下的及时检测错误的机会较少。
为了实施攻击,攻击者克隆目标存储库,注入恶意代码,然后以原始名称重新发布。然后开始通过互联网上的各种渠道(包括论坛和社交网络)推广此类存储库的阶段,这些存储库在这些渠道中以真实的形式呈现。该过程的自动化使您可以扩大受感染项目的分发范围。
受害者计算机上的恶意代码通常会在后台开始下载第三方软件。值得注意的是,攻击者最常使用 BlackCap Grabber ,这是一种窃取凭据、cookie 和其他重要信息,并将其发送到攻击者服务器的程序。
GitHub 通过自动监控和阻止具有过多副本的可疑存储库来针对所谓的分叉炸弹采取行动。尽管自动删除了数百万个可疑分叉,但大约 1% 的受感染副本仍然设法保留在平台上。
建议用户小心并检查他们使用的存储库。这对于公司防止恶意代码进入其系统和软件供应链尤其重要。
原文始发于微信公众号(安全客):开发人员注意了!GitHub 上发现超过 10 万个受感染的存储库
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论