在过去几个月里,网络攻击者已经在GitHub上注册了超过10万个恶意山寨代码仓库,但也有人估计超过了100万个。
“混淆攻击“的方案很简单:通过程序复制、植入木马和重新上传现有的代码仓库,希望开发者下载错误的版本。
据Apiiro最新的研究显示,虽然GitHub的自动化安全机制似乎能够识别和移除大多数这些山寨仓库,但仍有大量代码仓库逃过了检测。
代码仓库混淆与软件包管理器中的依赖混淆类似,它通过欺骗不知情的开发者下载几乎相同的代码副本,而附带了悄悄添加的恶意软件作为额外的“奖励”。
这种恶意软件反过来会被纳入软件项目中,从而导致下游供应链风险。
这一最新攻击活动成功的关键在于自动化。攻击者通过自动化的方式将代码大规模克隆、感染和重新上传到仓库,研究人员估计总共有数百万个代码仓库。为了增加合法性,自动化过程会将这些项目分别分叉成上千个副本,并在各种网络论坛和应用程序中推广它们。
因此,当开发者因为睡眠不足或者同时进行多个任务而复制分支代码时,他们可能会得到一个被严重混淆的BlackCap Grabber副本。这个副本会收集来自各种应用程序、浏览器Cookie以及其他数据的凭证,以及其它的恶意功能。
就GitHub而言,他们通常在这些恶意代码仓库发布后的几小时内将其下架。
Apiiro在其博客文章中解释道:“然而,自动化检测似乎错过了许多代码仓库,而那些手动上传的代码仓库则幸存下来。由于整个攻击链在很大程度上是自动化的,那些幸存下来的1%仍然意味着有数千个恶意代码仓库。”
一位GitHub发言人表示,他们正在努力提取恶意代码。“GitHub托管着超过1亿名开发者,他们在超过4.2亿个代码仓库中进行开发,并致力于为开发者提供安全可靠的平台。我们设有专门团队,负责检测、分析和删除违反我们可接受使用政策的内容和账户。我们采用手动审核和大规模检测的方式,利用机器学习技术不断进化和适应对手的策略。”该发言人在一份声明中表示:“我们还鼓励客户和社区成员报告滥用和垃圾邮件。”
GitHub天然的为混淆攻击提供了一定的优势。Apiiro写道:“在GitHub等平台上,通过使用便捷的API和容易绕过的软限制,自动生成账户和代码仓库变得非常容易。再加上隐藏在其中的大量代码仓库,使其成为秘密感染软件供应链的完美目标”。
Resecurity的首席运营官Shawn Loveland指出了另外两个问题。Loveland表示:“一个问题是隐私与安全之间的权衡:GitHub不会审查仓库,所以犯罪分子可以利用它们。另一个问题是GitHub账户被破坏的数量之多,这使得不法分子可以进入私有代码仓库并制作副本。”
网络犯罪分子也可以在没有额外访问权限的情况下复制公共代码仓库。
Loveland指出:“我只是在我们的数据库里找了一下,在过去的90天里,登录GitHub的用户中,近10万台计算机感染了恶意软件。”
组织如何保护自己免受恶意GitHub代码仓库的直接影响和下游影响?他建议:“公司需要制定使用GitHub的政策,并与员工和供应商进行沟通,即使他们自己不使用GitHub。这是因为即使那些不直接与第三方代码互动的公司,在供应链的某个环节上也依赖开发者。”
“即使是一家没有人使用GitHub的公司也有可能成为受害者,”洛夫兰说。
* 本文为陈发明编译,原文地址:https://www.darkreading.com/application-security/millions-of-malicious-repositories-flood-github
图片均来源于网络,无法联系到版权持有者。如有侵权,请与后台联系,做删除处理。
更多推荐
原文始发于微信公众号(数世咨询):GitHub遭数百万恶意代码仓库入侵,开源生态需警惕!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论