GitHub遭到大规模持续性的恶意存储库攻击 已删除数百万个带毒存储库

GitHub遭到大规模持续性的恶意存储库攻击已删除数百万个带毒存储库犯罪团伙选择拿GitHub当目标自然也是很有道理的,GitHub在谷歌搜索上的权重非常高、点击量更大,不少用户其实无法分辨GitHub上的项目是原项目还是其他人fork的版本,因此也更容易中招。但这种自动化、大规模的对GitHub展开袭击还是很少见的,犯罪团伙自然知道如此规模的攻击必然会引起GitHub的注意以及进行技术对抗,但犯罪团伙还是这么干了,说明他们也有自信自己的自动化系统可以在GitHub的围追堵截下继续工作。事实上也确实如此,GitHub目前已经删除了数百万个有问题的存储库,这些存储库主要fork一些大的、知名的存储库,被fork的存储库大约有10万个。这种也属于供应链攻击,而针对GitHub发起的供应链攻击数不胜数,但是出现百万级别的恶意存储库也是极为少见的,目前GitHub正在使用人工审查+大规模机器学习检测来删除这些恶意存储库,然而还是有一些携带后门的存储库成为漏网之鱼,这些漏网之鱼有可能会被用户下载。目前没有证据表明这些漏网之鱼的生命周期是多久,但GitHub哪怕是迟了个一两天才把漏网之鱼检测出来,在这一两天里可能也会有用户中招。所以,下次从GitHub上下载内容时记得看看issues、提交历史、star数作为参考,避免从搜索引擎进入了fork的存储库带来安全风险。...PC版:https://www.cnbeta.com.tw/articles/soft/1421969.htm手机版:https://m.cnbeta.com.tw/view/1421969.htm

相关推荐

封面图片

数百万 GitHub 项目易受依赖库劫持攻击

数百万GitHub项目易受依赖库劫持攻击安全专家发现,数以百万计的GitHub项目易受依赖库劫持攻击,攻击者可以借此发动影响大量用户的供应链攻击。GitHub上的用户名和项目或库的名字如果改变,为了避免破坏其它项目的依赖关系,GitHub会创建一个重定向。但如果有人用旧的名字创建了账号,那么就会导致重定向无效。GitHub可以防御部分此类攻击,但该防御方案可以被绕过。消息来源:投稿:@ZaiHuaBot频道:@TestFlightCN
封面图片

GitHub 受到自动恶意分叉攻击正在大量分发恶意代码

GitHub受到自动恶意分叉攻击正在大量分发恶意代码该恶意软件分发活动现已传播到GitHub,并扩大到至少数十万个受感染的存储库。根据安全公司Apiiro的说法,该代码下毒的活动包括以下几个步骤:克隆(clone)合法的存储库,用恶意软件加载程序感染它们,以相同的名称将更改后的文件上传到GitHub,然后对有毒的存储库进行数千次分叉(fork)和星标(star),并在社交媒体渠道、论坛和网站上推广受感染的代码库。此后,寻找有用代码的开发人员可能会发现一个被描述为有用且乍一看似乎合适的代码库,但他们的数据却被运行恶意Python代码和二进制可执行文件的隐藏负载窃取。以上策略均可自动化部署,根据扫描结果粗略估计至少有数十万个恶意代码库被生成,即使只有较小比例在审核过程中幸存,数量也有上千个。研究人员表示,GitHub为这种恶意软件分发链提供了有效方法,因为它支持自动生成帐户和存储库、友好的API和软速率限制以及其庞大的规模。因此GitHub当前除了移除被举报的仓库外,并没有更加有效的方法预防该攻击过程。——
封面图片

代码托管平台 GitHub 评论被指滥用:通过知名存储库 URL 分发恶意软件

代码托管平台GitHub评论被指滥用:通过知名存储库URL分发恶意软件在发表评论时,用户可以添加附件,该文件将上传到GitHub的CDN并使用以下格式的唯一URL与相关项目关联:https://www.github.com/{project_user}/{repo_name}/files/{file_id}/{file_name}在将文件添加到未保存的评论后,GitHub会自动生成下载链接,而不是在发布评论后生成URL,如上所示。这使得威胁行为者可以在不知情的情况下将他们的恶意软件附加到任何存储库。即使不发布或删除评论,这些文件也不会从CDN中删除,且URL会持续永久有效。via匿名
封面图片

PyPI存储库遭到自动化提交恶意软件攻击后暂停注册10小时

PyPI存储库遭到自动化提交恶意软件攻击后暂停注册10小时PyPI中出现恶意软件已经是个超级平常的事情,这些恶意软件一方面针对开发者进行供应链攻击,另一方面也会窃取敏感信息包括加密钱包的数据等。尽管PyPI官方并未透露为什么暂停注册和提交软件,不过事后安全公司Checkmarx称,在关闭注册前几个小时,PyPI遭到了黑客攻击。黑客当然不是DDoS,而是利用一种被称为拼写错误的技术批量提交大量恶意软件,有些开发者安装软件时可能会拼错单词,黑客只要批量提交足够多的恶意软件包,那肯定会有些命中开发者。研究人员分析后发现,黑客提交的恶意软件包具有以下目的:窃取加密钱包、浏览器中的敏感数据,包括Cookie、扩展数据等和各种凭证等,这只是第一阶段攻击,黑客还是用有效的恶意负载在重启系统后依然实现持久化。这些恶意软件可能都是自动化创建的,它们模仿流行的软件名称,PyPI官方如果靠手动封禁账号那可能是个巨大的工程,迫于无奈只能直接暂停新用户注册以缓解问题。此次PyPI暂停新用户注册超过10个小时,之后恢复了正常,不过接下来黑客还会继续提交更多恶意软件,所以开发者们下载安装软件时一定要谨慎。...PC版:https://www.cnbeta.com.tw/articles/soft/1425765.htm手机版:https://m.cnbeta.com.tw/view/1425765.htm
封面图片

任天堂通过法律行动对抗Switch模拟器,GitHub删除8535个Yuzu模拟器克隆存储库

任天堂通过法律行动对抗Switch模拟器,GitHub删除8535个Yuzu模拟器克隆存储库任天堂继续其对Switch模拟器的法律打击,此前Switch模拟器Yuzu因侵犯版权向任天堂支付了240万美元赔偿并停止开发。因Yuzu开源,导致多个克隆模拟器如Nuzu、Suyu等出现,任天堂并未放松追打。2024年4月29日,GitHub根据任天堂的DMCA(数字千年版权法)通知,删除了8535个涉嫌提供Switch模拟器的存储库。任天堂指出这些存储库提供对Yuzu模拟器或其代码的访问,Yuzu模拟器被用于非法规避技术保护措施和复制Switch游戏,且在运行时未经授权使用专有密钥。任天堂要求必须删除被举报的侵权内容。关注频道@TestFlightCN频道投稿@TNSubmbot
封面图片

clash_for_windows_pkg '删库' 删除了github存储的二进制文件。还在发电报,问题不大,但是不更新了

clash_for_windows_pkg'删库'删除了github存储的二进制文件。还在发电报,问题不大,但是不更新了链接:https://github.com/Fndroid/clash_for_windows_pkg推荐:macOS:https://github.com/yichengchen/clashXwindows:https://github.com/Z-Siqi/Clash-for-Windows_Chinese(不过原版不更新了,汉化的就没下文了)

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人