Microsoft流行的代码共享平台GitHub受到攻击，可能影响数百万人

数以百万计的开发人员和用户处于戒备状态，因为流行的代码共享平台GitHub面临大规模攻击。Apiiro 的安全研究人员发现了一个令人担忧的趋势，即恶意行为者以 GitHub 存储库为目标，可能会危及超过 100,000 个项目。

大规模恶意软件活动针对超过 100,000 个 GitHub 存储库

该攻击涉及一种称为“恶意存储库混淆”的技术，攻击者克隆合法存储库，注入有害代码，然后将它们重新上传到平台。然后，这些被篡改的存储库可能会被毫无戒心的用户下载，从而可能危及他们的系统或感染恶意软件。

Apiiro 的报告强调了使 GitHub 容易受到此类攻击的几个因素。该平台的易用性、现成的 API 以及众多隐藏存储库的存在为攻击者发起“水坑攻击”创造了一个理想的环境。

在这些攻击中，攻击者以常用且经常下载的存储库为目标。他们将恶意代码注入这些存储库，然后重新上传它们。为了进一步扩大其影响范围，攻击者使用自动化方法创建了大量受感染存储库的虚假分支。然后，这些虚假的分叉可以通过社交媒体、在线论坛和其他渠道传播，诱骗用户下载恶意版本。

该报告承认，GitHub 已收到通知，并已删除大部分已识别的恶意存储库。但是，该活动仍在继续，攻击者不断尝试注入有害代码。这场持续的斗争类似于打地鼠的游戏，GitHub 在追赶中，在恶意代码上传后将其删除，这可能会使用户处于危险之中。

报告进一步显示，这种攻击活动始于 2023 年 5 月，并且一直在稳步增长。这种持续的活动引发了人们的担忧，即未来可能会有更多的存储库和用户受到损害。建议开发人员和用户在从 GitHub 下载代码时要谨慎，尤其是从不熟悉的存储库下载代码。在将代码集成到项目中之前，验证代码的来源和合法性至关重要。

来源：IT时代网

IT时代网(关注微信公众号ITtime2000，定时推送，互动有福利惊喜)所有原创文章版权所有，未经授权，转载必究。
创客100创投基金成立于2015年，直通硅谷，专注于TMT领域早期项目投资。LP均来自政府、互联网IT、传媒知名企业和个人。创客100创投基金对IT、通信、互联网、IP等有着自己独特眼光和丰富的资源。决策快、投资快是创客100基金最显著的特点。

相关文章

Microsoft流行的代码共享平台GitHub受到攻击，可能影响数百万人