数百万个GitHub仓库被发现感染恶意代码

于 2024-10-06 10:05:55 发布
阅读量349 收藏 1
点赞数 15
分类专栏: 网络安全 文章标签: github pypi 仓库 攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45581780/article/details/142723497
版权

图片

最近,安全公司Apiiro的一份报告揭示了一种名为“仓库混淆”攻击,该攻击已经影响了GitHub上的超过100,000个仓库。

这种攻击利用了Git版本控制系统处理仓库名称的漏洞,可能导致恶意代码被注入到合法的仓库中。

这突显了需要改进的安全措施,以防止此类攻击并保护存储在GitHub上的代码的完整性。

这种攻击技术利用了GitHub平台的广泛规模和未受保护的可访问性,对未做好准备的开发者发起攻击。

攻击是如何进行的?

1.克隆流行仓库:攻击者针对像TwitterFollowBot、WhatsappBOT等流行仓库,并创建它们的仿制副本。

2.注入恶意软件:这些副本中插入了旨在窃取登录凭证、浏览器数据和其他敏感信息的恶意软件。

3.上传到GitHub:感染了恶意代码的仓库以与原仓库相同的名称重新上传到GitHub,希望不知情的开发者会误选它们。

4.传播并欺骗:攻击者使用自动化创建这些恶意仓库的数千个副本,并通过开发者常去的在线论坛和平台推广它们。

在不知情的开发者使用这些被污染的仓库时,他们会无意中解包一个包含七层混淆的隐藏有效载荷。

这个过程涉及提取恶意Python代码和一个可执行的二进制文件,特别是一个修改过的BlackCap-Grabber版本。

这段恶意代码旨在收集敏感信息,如来自各种应用程序的登录凭证、与浏览器相关的数据(如密码和cookies)以及其他机密信息。

之后,它将所有收集的数据传输给攻击者的命令和控制服务器。这会引发一系列额外的恶意活动。

攻击的范围

根据Apiiro的研究,自2023年中期开始的攻击活动在近几个月中势头不断增强。

已确认感染的仓库数量已超过100,000个,实际数量有可能达到数百万。

  • 2023年5月:包含当前有效载荷部分的恶意包出现在PyPI(Python包索引)上。

  • 2023年7月至8月:在PyPI移除恶意包后,攻击者转向直接将感染的仓库上传到GitHub。

  • 2023年11月至今:检测到超过100,000个感染的仓库,数量还在不断增长。

来源:cybersecuritynews

星尘安全
关注
专栏目录
数百万个 GitHub 仓库易受 RepoJacking 攻击
smellycat000的专栏
06-25 401
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士数百万个 GitHub 仓库易受依赖仓库劫持攻击即 “RepoJacking”攻击,可使攻击者部署供应链攻击,影响大量用户。AquaSec 公司的安全团队 Nautilus 分析了125万个 GitHub 仓库发现约2.95%的仓库易受 RepoJacking 攻击。按照比例扩展到 GitHub 的3亿多个仓库后,研究人员预计该漏洞影响大约90...
GitHub数百万个存储库可能容易被劫持
热门推荐
网络研究观
06-26 1万+
GitHub 上数以百万计的企业软件存储库很容易受到重新劫持,这是一种相对简单的软件供应链攻击,威胁行为者将依赖于特定存储库的项目重定向到恶意攻击
数千个恶意仓库克隆传播恶意软件,GitHub正在调查
smellycat000的专栏
08-04 206
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的...
数百万GitHub仓库可能遭受RepoJacking攻击
INSBUG的博客
06-30 96
尽管GitHub近年来一直尝试阻止RepoJacking,但是这些保护仍然会存在一些问题,如上述第三节,GitHub对一周内克隆超过100次的命名空间进行了保护,使得已删除用户能被重建,却无法创建与被停用的仓库名称相同的仓库。在有人创建user_A之前,GitHub将user_A/repo_A指向user_B/repo_A(访问之前的user_A/repo_A仓库会跳转到user_B/repo_A)。开发者仍然可以使用被重命名或删除的帐户的登录名进行注册,但他们将无法创建与被停用命名空间相同的仓库名称。
GitHub账户重命名可引发供应链攻击
smellycat000的专栏
10-28 406
聚焦源代码安全,网罗国内外最新资讯!专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危...
恶意npm包收集用户IP等信息并在GitHub传播
小詹学python的博客
10-09 227
Sonatype 研究人员发现并确认了两个新的易受攻击的 npm 软件包。据研究人员介绍,这两个软件包最初由他们的恶意代码自动检测系统(malicious code detection...
安全通知|NPM官方仓库遭遇coa等恶意包投毒攻击
Tencent_SRC的博客
11-05 1613
腾讯洋葱入侵检测系统 七夜腾讯蓝军 & TSRC Silence腾讯宙斯盾流量安全分析团队 Pav1、余忆概述今天,腾讯洋葱入侵检测系统发现开源软件沙箱主机出现异常行为,跟进...
Homebrew存在大漏洞,恶意代码远程操纵电脑! 网友:这不是单方面的责任
量子位
06-14 4637
丰色 发自 凹非寺量子位 报道 | 公众号 QbitAIMac包管理工具Homebrew出现了一个大漏洞:在Homebrew/homebrew-cask仓库中,通过混淆Homebrew项目...
通过欺骗GitHub commit元数据发动供应链攻击
smellycat000的专栏
07-19 154
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的...
Github安全与权限策略设置实战
GitHub是全球最大的开源社区和代码托管平台,拥有数百万注册用户和数百万代码仓库。因此,对GitHub安全意识的重视至关重要。在这一节中,我们将探讨为什么理解GitHub的安全风险是至关重要的。 ### 安全意识重要性 ...
基于GAN的Android恶意软件修改引擎
软件X 18(2022)100977原始软件出版物GANG-MAM:基于GAN的Android恶意软件修改引擎伦吉斯湾a,Sonia Laudanna,b,Shanxi,Aji S.a,Corrado Aaron Visaggiob,Vinod P.Ca印度喀拉拉邦特里凡得琅喀拉拉大学计算机...
国外开源
ailinyingai的博客
11-14 1529
微软开源软件 1、Visual Studio Code:跨平台源代码编辑器 Visual Studio Code是微软于2015年正式发布的项目,可以运行在Mac OS X、Windows和Linux之上,面向Web和云应用的一款跨平台源代码编辑器。 虽然它的名字与Visual Studio相近,但前者是代码编辑器,后者是集成开发环境(IDE)并且目前只运行在Windows上。 GitHub主页:...
【区块链 | 审计】关于审计技术和工具 101事
02-01 1636
译文出自:登链翻译计划[1]译者:翻译小组[2]校对:Tiny 熊[3]审计:是对项目代码库的外部安全评估,通常由项目团队要求并支付费用。它检测并描述(在报告中)安全问题,包括潜在的漏洞、严重程度/难度、潜在的利用方案和建议的修复。它还提供了对代码质量、文档和测试的主观见解。审计报告的范围/深度/格式在不同的审计团队中有所不同,但它们通常涵盖类似的方面。审计范围:对于基于以太坊的智能合约项目,范围通常是链上智能合约代码,有时也包括与智能合约交互的链下组件。
5 分钟快速入门 Github Action
PeterJXL的博客
09-27 1085
Github Action 是一种自动化构建工具。
Github 2024-09-29 php开源项目日报 Top10
老孙正经胡说
09-29 998
根据Github Trendings的统计,今日(2024-09-29统计)共有10个项目上榜。
Github 2024-09-30 开源项目周报 Top15
老孙正经胡说
09-30 1058
根据Github Trendings的统计,本周(2024-09-30统计)共有15个项目上榜。
github 远程仓库删除 本地重新上传
qq_37757277的博客
09-29 379
通过这些步骤,你可以删除旧的远程仓库并将本地代码上传到新的远程仓库
GitHub flow工作流
最新发布
niwoxiangyu的博客
10-05 608
您可以在开发过程中的任何时候打开“拉取请求”:当您很少或没有代码,但想共享一些屏幕截图或一般性想法时,遇到困难需要帮助或建议时,或者准备为某人准备时查看您的工作。当您在项目中创建分支时,您正在创建一个可以尝试新想法的环境。您在分支机构上所做的更改不会影响master分支机构,因此您可以自由地尝试并提交更改,因为您可以知道自己的分支机构不会被合并,直到准备好与您的协作者进行审查为止,这是安全的。当您在进行项目时,在任何给定的时间都会有许多不同的功能或想法在进行中-其中一些已经准备就绪,而另一些则没有。
恶意代码检测 github
06-20
### 回答1: Github是全球最大的开源代码托管平台,上面用户提交的代码可以被其他人浏览、下载和使用。随着恶意代码的不断增多,用户需要更多的保障来确保在Github上提交的代码没有安全问题。为此,Github提供了大量的安全检测工具,其中包括针对恶意代码的检测功能。 Github通过内置的恶意代码检测工具,自动扫描和检测代码库中的恶意代码。这些工具可以检测出一些常见的恶意代码和漏洞,例如恶意软件、木马、恶意组件等等。一旦扫描到恶意代码Github会立即向用户发送警告,提醒用户尽快解决并清除问题。 除了内置的恶意代码检测工具之外,Github还允许用户安装并使用第三方的恶意代码检测工具。这些工具可以根据用户所需的检测类型和规则进行自定义设置,以帮助用户更好地保护自己的代码库。 总的来说,Github提供了全面的恶意代码检测和保护措施,用户可以利用这些功能来确保上传到Github上的代码是安全的,这有助于提升代码质量和安全性,避免被黑客攻击或其他安全漏洞的威胁。 ### 回答2: 最近,越来越多的人在使用 GitHub 存储和共享源代码,这也包括恶意代码。为了保障网站安全,GitHub 近期开发出了检测恶意代码的功能。该功能的开发是为了帮助 GitHub 用户更好地保护他们的代码库,并防止用户之间的不良行为。 通过该功能,GitHub 可以自动扫描所有上传到其代码库的文件,并检测其中是否包含恶意代码。如果检测到恶意代码GitHub 会立即通知相关用户并将恶意代码从其代码库中删除。此外,GitHub 还提供了一些其他的保护机制,比如检测 XSS (跨站脚本攻击) 攻击和 SQL 注入攻击。 虽然 GitHub恶意代码检测功能可以为用户提供额外的安全保障,但是它并不能保证完全防止恶意代码的存在。因此,为了更好的保护自己的代码,用户还需要注意代码库的上传者身份、代码来源以及代码质量等方面。同时,开发者们也应该关注新出现的安全漏洞,及时进行更新和修复。 总之,GitHub恶意代码检测功能为网站安全保驾护航,但是我们也需要做好自己的安全意识和防范措施。 ### 回答3: 恶意代码检测是指在电脑或网络系统中寻找、识别和清除恶意软件或文件。Github是全球范围内最受欢迎的代码托管网站之一,用户可以在该网站上分享自己的代码,理论上说,这也包括了一些有恶意代码的内容。 为了保证Github的安全性,Github不仅会主动屏蔽已知的恶意代码,还会通过机器学习和反病毒软件对上传到其网站的代码进行检测和筛选。此外,Github还提供了举报功能,使用户能够报告存在有恶意代码的代码库。 检测恶意代码的过程可以分为三个阶段:特征提取、分类和评估。在特征提取阶段,检测程序会分析上传的代码语法和语义的特征,如API调用的频率、调用的顺序、开发者行为等。在分类阶段,程序会将上传的代码与已知的恶意代码和良性代码进行对比,从而确定上传的代码是否具有潜在的安全威胁。最后,在评估阶段,程序会对已分类的代码进行细致的检查,以确认是否为真正的恶意代码。 总的来说,Github恶意代码检测还是非常可靠的,能够大大提高代码分享的安全性。当然,作为用户,我们也应该在上传代码之前自觉地进行审查,确保我们本身的代码不包含任何恶意代码
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

星尘安全

你的鼓励将是我创作的最大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值