GitHub被数百万恶意存储库围攻

GitHub正在努力遏制持续的攻击，数百万代码库淹没了该网站。研究人员表示，这些存储库包含混淆的恶意软件，可以从开发人员的设备中窃取密码和加密货币。

恶意存储库是合法存储库的克隆，这使得它们很难被普通人区分出来。未知的一方已经自动化了一个分离合法存储库的过程，这意味着源代码被复制，以便开发人员可以在基于原始存储库的独立项目中使用它。其结果是数以百万计的分叉，其名称与原始分叉相同，并添加了包裹在七层混淆之下的有效载荷。更糟糕的是，一些人，没有意识到这些模仿者的恶意。

安全公司Apiiro的研究人员马坦·吉拉迪和吉尔·大卫周三写道:“GitHub很快就删除了大多数分叉的回购，它识别出了自动化。”“然而，自动化检测似乎错过了许多repos，而手动上传的repos幸存下来。因为整个攻击链似乎大部分都是大规模自动化的，所以幸存的1%仍然相当于数千个恶意回购。”

考虑到不断有新的repos被上传和GitHub的删除，很难准确估计每种repos有多少。研究人员表示，在GitHub删除之前上传或分叉的repos数量可能达到数百万。他们表示，这次攻击“影响了超过10万个GitHub存储库”。

GitHub官方没有对Apiiro的估计提出异议，也没有回答通过电子邮件发送的其他问题。相反，他们发表了以下声明:

GitHub拥有超过1亿的开发人员，在超过4.2亿个存储库中构建，并致力于为开发人员提供安全可靠的平台。我们有专门的团队来检测、分析和删除违反我们可接受使用政策的内容和账户。我们采用人工审查和大规模检测，使用机器学习，不断发展和适应对抗策略。我们还鼓励客户和社区成员举报滥用和垃圾邮件。

针对开发者平台用户的供应链攻击至少从2016年就存在了，当时一名大学生上传了自定义脚本到RubyGems、PyPi和NPM。这些脚本的名称与广泛使用的合法软件包相似，但除此之外与它们没有任何联系。这名学生的脚本中的一个“电话之家”特征显示，冒名顶替的代码在超过1.7万个不同的域名上被执行了超过4.5万次，而且他的代码有一半以上的时间被赋予了全权管理权限。其中两个受影响的域名以。mil结尾，这表明美国军方内部有人运行了他的脚本。这种形式的供应链攻击通常被称为输入错误，因为它依赖于用户在选择他们想要使用的包的名称时犯的小错误。

2021年，一名研究人员使用类似的技术成功地在苹果、微软、特斯拉和其他数十家公司的网络上执行了假冒代码。这种技术——被称为依赖混淆或命名空间混淆攻击——首先将恶意代码包放置在官方的公共存储库中，并赋予它们与苹果和其他目标公司在其产品中使用的依赖包相同的名称。公司使用的包管理器中的自动脚本然后自动下载并安装伪造的依赖代码。

Apiiro观察到的技术被称为回购混淆。

周三的帖子解释说:“与依赖混淆攻击类似，恶意攻击者会让目标下载他们的恶意版本，而不是真正的版本。”“但是依赖混淆攻击利用了包管理器的工作方式，而回购混淆攻击只是依赖于人类错误地选择恶意版本而不是真实版本，有时还使用社会工程技术。”

周三的帖子没有说明这次活动中的恶意回购收到了多少下载或安装，如果有的话，Apiiro的代表也没有回应寻求此事和其他细节的电子邮件。如果没有这些信息，就很难评估大量恶意上传到GitHub的真实威胁有多大。考虑到分叉的数量和活动的持续时间，开发者最好意识到风险，并确保下载来自合法来源。

原文始发于微信公众号（HackSee）：GitHub被数百万恶意存储库围攻