Github突遭大规模恶意攻击,大量加密密钥可能泄露!
Github又被人恶意攻击了?还是涉及35000资源库的大规模攻击? 这个消息不是官方消息,是推特用户@Stephen Lacy在推特上发出来的。
个人资料显示,Stephen Lacy是一位软件工程师,从事领域为密码学和开源,还是一位游戏开发者,开发了一款名为「PlayGodfall」的游戏。
他声称,自己发现了Github上的广泛的大规模恶意攻击行为。目前已有超过35000个资源库受到感染。 (不久后他作出更正,受感染的为35000+「代码段」,而不是资源库) Lacy表示,目前,包括crypto, golang, python, js, bash, docker, k8s在内的著名资源库均受到影响,波及范围包括NPM脚本、Docker图像和安装文件等。
他表示,目前看上去这些恶意的commit看上去人畜无害,起的名字看起来像是例行的版本更新。
而从资源库历史变动记录看,有些commit来自于原库主,有些则显示用户不存在,还有一些属于归档资源库。 至于攻击的方式,攻击者会将库中的多种加密信息上传到自己的服务器上,包括安全密钥、AWS访问密钥、加密密钥等。
上传后,攻击者就可以在你的服务器上运行任意代码。 听上去很可怕,有没有? 而除了窃取加密信息外,攻击者还会构建假的资源库链接,并以合法的资源库形式向Github提交clone,从而甩锅给资源库的原作者。
Lacy表示,这些漏洞和攻击是他浏览一个通过谷歌搜索找到的project时发现的,所以首先要注意的是,不要随便安装网上搜到的什么奇奇怪怪的package。 另外,要防止中招的最好方法是,使用GPG加密签名。 目前,Lacy表示,已经向Github报告了他发现的情况,目前暂时还未见Github官方作出回应。
最新消息是,据BleepingComputer报道, Github在收到恶意事件报告后,已经清除了大部分包含恶意内容的资源库。 按照这个网站的说法 ,实际上,35000个原始资源库并未「被劫持」 ,而是在clone中被添加了恶意内容。
数以千计的后门被添加到了正常合法项目的副本里(fork或clone),以达到推送恶意软件的目的。
相关文章
- iOS14.6准正式版发布,没必要还是别升了
- Google Maps重大升级预告:让地图更加人性化更懂你需求
- Android Studio Arctic Fox (2020.3.1) Beta 发布,启用新的版本号命名方案
- Android 12正式发布:安卓历史最大设计变化、更流畅了!
- 解决 iOS 14.5 UDP 广播 Sendto 返回 -1
- 鸿蒙OS、安卓、IOS,究竟谁才是未来?
- iOS15来了!但只有16款iPhone可以更新,钉子户要“下岗”了
- iOS项目国际化对【名词复数】的处理方法
- 苹果产品系统全面升级IOS15要来了
- 支付宝数字人民币在哪怎么开通 怎么使用数字人民币付款
- 熬了一个通宵,终于把Reids的7千万个Key删完了,今天脑子都嗡嗡响!
- 面试官:为什么在系统中不推荐双写?
- 8个超实用的iPhone隐藏功能和技巧,你可能还不知道
- 支付宝闪现数字人民币
- 为什么苹果五年不卡,安卓只能用两三年?这几个原因说到点上了
- 苹果发布iOS 14.6新测试版:改进性能和Bug
- 难住了N个面试者,http协议无状态中的 "状态" 到底指的是什么?!
- 算法的艺术:MySQL order by对各种排序算法的巧用
- 教你一招把老照片无损地扫描到手机上,特别清晰,永久保存起来
- 微信群里隐藏着一个永久免费无限空间,很多人都不知道,太实用了