GitHub 中超过3.5万开源代码被投毒

最新推荐文章于 2023-10-22 11:31:09 发布
最新推荐文章于 2023-10-22 11:31:09 发布
阅读量1.2k 收藏 1
点赞数 1
文章标签: java 开发语言 github 网络安全 npm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cups107/article/details/126146836
版权

事件简述

8月3日13时,名为 Stephen Lacy 的工程师在 Twitter 中表示其发现 GitHub 中大量仓库被加入了恶意代码,感染文件超过3.5万,涉及 Go 代码、NPM 安装脚本、容器镜像配置等内容。

  • 被感染的仓库大多数处在长期不维护的状态,star 和 fork 数量基本为0

  • 恶意代码在最早在2019年已经提交进部分仓库,不少仓库是在最近10天左右被感染

  • 信息收集和控制指令的服务地址位于俄罗斯

15时许,GitHub 开始对受影响仓库进行清理,当前受影响仓库已经全部无法访问。

由于被投毒的开源仓库大多无人关注,预计此次事件本身的实际影响较小,但从攻击手法上来看体现了攻击者有较强的工程化利用能力。

ovz1.j19544519作为关键词在 GitHub 中可以搜索到超过3.5万个代码文件的结果。

 

最早提交的恶意代码是在2019年

最低0.47元/天 解锁文章
开源生态安全OSCS
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Node.js-trumptracker.github.io网站开源代码
08-10
trumptracker.github.io网站开源代码
xiaoqingyun.github.io:分享灵感,开源代码
03-22
【xiaoqingyun.github.io: 分享灵感,开源代码】是一个在线平台,专注于分享创新的灵感和开源代码。这个项目通常是由个人或团队在GitHub上建立的,旨在为开发者社区提供资源、教程以及可复用的代码片段。通过这个...
居然以反战的名义,利用开源工具包“投毒”!
程序猿DD
03-18 274
文| 罗奇奇出品 | OSC开源社区(ID:oschina2013)vue-cli 的依赖项 node-ipc 包正在以反战为名进行供应链投毒,该包在 npm 每周有上百万下载量。知...
GitHub超过3.5万开源代码投毒
最新发布
dzqxwzoe的博客
10-22 217
8月3日13时,名为 Stephen Lacy 的工程师在 Twitter 表示其发现 GitHub大量仓库被加入了恶意代码,感染文件超过3.5万,涉及 Go 代码、NPM 安装脚本、容器镜像配置等内容。被感染的仓库大多数处在长期不维护的状态,star 和 fork 数量基本为0恶意代码在最早在2019年已经提交进部分仓库,不少仓库是在最近10天左右被感染信息收集和控制指令的服务地址位于俄罗斯15时许,GitHub 开始对受影响仓库进行清理,当前受影响仓库已经全部无法访问。
开源与“黑客”入侵
蔡世友-重出江湖
01-11 1751
  请不要因为没吃过猪肉,也没见过猪跑,就否认这世界上有猪的存在;更没必要国为2007是猪年一下子变得跟猪一样“可爱”  开源最原始的说法就是开放源代码,而黑客已经是IT业乃至社会大众都耳熟能详的名词了,就连上学3年级的小强都经常信誓旦旦的说:“我长大要做一名黑客!”。全世界的黑客非常多,因为性质不同可以细化成CRACKER或HACKER,国也不例外。有一点不同的是,国存在着大量的“黑客”
康奈尔大学研究员发现“代码投毒”攻击,可触发供应链攻击
smellycat000的专栏
08-16 370
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成...
著名npm包被毁,GitHub强烈谴责!开源作者因反俄给代码投毒遭猛烈抨击
HollisChuang's Blog
03-23 866
新智元报道编辑:桃子 拉燕【新智元导读】继此前faker.js开源作者删除所有代码后,近日,开源代码的维护者因反俄给node-ipc库添加了恶意代码,遭到GitHub社区的强烈谴责。开发者自毁代码,只为不让俄罗斯人使用。据Github上发布的一份公告称,一位流行的开源软件的技术专家和维护者故意破坏了他们自己的代码。他们向非常受欢迎的node-ipc库添加了恶意代码...
github 开源贡献指南文版本.pdf
09-23
github 开源贡献指南文版本
egit-github, GitHub Mylyn连接器.zip
10-11
egit-github, GitHub Mylyn连接器 支持的连接器EGit连接器是一个 Eclipse 插件,用于处理在Github上托管的Git库。 它是基于is库的,它是纯Java的Git实现,并与is集成了 Eclipse Git团队提供程序。这里软件包是在...
开源GitHub权威介绍GotGitHub.zip
07-18
3. 项目托管 3.5.1. 创建个人主页 3.5.2. 创建项目主页 3.5.3. 使用专有域名 3.5.4. 使用Jekyll维护网站 3.4.1. 邮件通知功能 3.4.2. 和Redmine整合 3.3.1. 用户级公钥管理 3.3.2. 项目级公钥管理 3.2.1...
github某0day漏洞投毒与钓鱼样本分析
C20220511的博客
05-17 1025
接下来访问“https://dist.torproject.org/torbrowser”,下载tor-expert-bundle并解压,然后释放tor.exe、obfs4proxy.exe和TOR网络连接需要的配置文件到创建计划任务时的木马exe路径下,文件夹名为随机命名,然后配置TOR连接,再启动tor.exe,完成TOR网络的连接。如果开启,则退出程序。此外,代码还包含名为spread_USB的函数,实现USB传播木马的功能,但是还有复杂的逻辑判断后才运行该功能,笔者暂时没有找到启用该功能的条件。
什么?初级程序员才删库跑路,高级的都在代码投毒。。。
Spontaneous_0的博客
02-13 214
什么?初级程序员才删库跑路,高级的都在代码投毒。。。
什么?初级程序员才删库跑路,高级的都在代码投毒
m0_67261762的博客
07-09 766
事情是这样的,最近在做开源软件供应链安全相关的项目,之前没了解这方面知识的时候感觉服务器被黑,数据库被删,网站被攻,这些东西都离我们太遥远了,因为感觉好像都轮不到我们,直到我开始做这个项目,才发现网络安全软件安全问题真的是无处不在。今天我们来聊聊删库跑路和代码投毒。 我们从可操作性及易发现性还有后果及预防策略上来探讨一下。 在软件行业,“删库跑路”流传已久,对,就是删完库,跑在监狱的路上,这个对于安全来说简直是小儿科。像数据这么敏感的权限控制得比较严格,比如人员的权限控制及防范:看到了没,首先第一步你让0
投毒挖洞:针对公司开源项目的同名包攻击
murphysec的博客
07-09 199
2022 年 7 月 7 日,OSCS 监测发现开发者 hayahunterr 在 NPM 仓库上传了 ably-common、api-key-regex、ably-asset-tracking-common、repository-audit 等恶意组件包。这些组件包与 Ably 公司的开源项目同名,推测其抢注包名是期望证明此类风险从而赚取 Ably 公司的漏洞赏金。7月7日,OSCS 监测发现 NPM 仓库出现了由开发者 hayahunterr 上传的多个恶意组件包,并在描述注明了bugbounty
再谈“开源软件供应链安全”
dotNET跨平台
01-23 532
| 作者:庄表伟|编辑:刘雪洁| 设计:周颖| 责编:王玥敏缘起之前写过一篇文章《我所理解的开源软件供应链安全》,当时的情况,还没有出现一些值得探讨的,堪称紧迫的热点事件,所以我也仅仅是...
这个 GitHub 项目有毒
公众号:逛逛GitHub
05-25 231
今天推荐的项目是一个表情包博物馆,国表情包大集合,堪称 GitHub 最有毒的仓库。记住,当你传递一张表情包的时候,你不是在传递一张发绿的老梗,你传递的是古典互联网精神最后的火炬 ...
数千GitHub 仓库正在传播含有恶意软件的虚假PoC 利用
smellycat000的专栏
10-24 544
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士荷兰莱顿大学高级计算机科学学院的研究人员发现,GitHub 上的数千个仓库为多个漏洞提供虚假的PoC 利用,其某些PoC 包含恶意软件GitHub 是最大的代码托管平台之一,研究人员通过该平台发布PoC 利用,帮助安全社区验证漏洞修复方案或者判断漏洞的影响和范围。研究人员发布文章指出,受恶意软件感染的可能性高达10.3%,不包括已证实的虚假...
怎么防止同事用Evil.js的代码投毒
wang_yu_shun的博客
08-29 2783
最近Evil.js被讨论的很多,项目介绍如下2022-08-22-16-17-24.png项目被发布到npm上后,引起了激烈的讨论,最终因为安全问题被npm官方移除,代码也闭源了作为一个前端老司机,我肯定是反对这种行为,泄私愤有很多种方式,代码里下毒会被git log查到,万一违法了,还不如离职的时候给老板一个大逼兜来的解恨今天我们来讨论一下,如果你作为项目的负责人,如何甄别这种代码下毒下毒手法最...
微软禁俄下载、开源投毒攻击、Rust不会重写Linux、开放原子峰会7月举办 | 开源月报 Vol. 07...
腾源会
06-30 1260
「WeOpen Insight」是腾源会推出的「开源趋势与开源洞见」内容专栏,不定期为读者呈现开源圈内的第一手快讯、优质工具盘点等,洞察开源技术发展的风向标,预见未来趋势。1开源社区新闻1、Linus Torvalds 称并未用 Rust 重写 Linux6 月 22 日,在「2022 OpenCloudOS 社区开放日」上,Linux 之父 Linus Torvalds...
github3.github.session.GithubSession()是什么
07-11
`github3.github.session.GitHubSession()` 是 `github3.py` 库用于与 GitHub API 进行交互的会话对象。它是 `github3` 模块的一个类。 使用 `GitHubSession`,您可以创建一个会话对象,以便进行身份验证并发送请求到 GitHub API。该会话对象提供了许多方法来执行各种操作,例如获取存储库信息、创建问题、提交更改等。 以下是一个示例,展示如何使用 `GitHubSession` 创建一个会话对象并发送 GET 请求获取存储库信息: ```python import github3 # 创建 GitHubSession 会话对象 session = github3.github.session.GitHubSession() # 发送 GET 请求获取存储库信息 repo = session.get('https://api.github.com/repos/owner/repo') # 处理响应 print(repo) ``` 请注意,为了使用 `GitHubSession`,您需要安装 `github3.py` 库,可以使用 `pip install github3.py` 命令进行安装。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值