Github突遭大规模恶意攻击,大量加密密钥可能泄露!

最新推荐文章于 2022-10-24 17:47:30 发布
最新推荐文章于 2022-10-24 17:47:30 发布
阅读量155 收藏
点赞数
文章标签: 游戏 github 安全 python java
原文链接:https://mp.weixin.qq.com/s?__biz=MzU4NjIxODMyOQ==&mid=2247509876&idx=4&sn=634fa11ff09447bb56e805356d0095e1&chksm=fdfc4942ca8bc05466803ac05db05a5d24de22e9d258fb2731e776f82c9e726535ca7bf91da2&scene=126&&sessionid=0
版权

698b639c747a3cd025b185468c3e543c.jpeg

  视学算法报道  

编辑:David

【导读】爆料者在推特上表示,目前已经向Github报告,并提醒各位不要安装奇奇怪怪的package。目前官方已删除大部分恶意clone。

Github又被人恶意攻击了?还是涉及35000资源库的大规模攻击?

这个消息不是官方消息,是推特用户@Stephen Lacy在推特上发出来的。

953e75bebf2064fdc1068d2e4b82925f.png

个人资料显示,Stephen Lacy是一位软件工程师,从事领域为密码学和开源,还是一位游戏开发者,开发了一款名为「PlayGodfall」的游戏。

7260f08ef7d1efcaff71b2e9c50af478.png

他声称,自己发现了Github上的广泛的大规模恶意攻击行为。目前已有超过35000个资源库受到感染。

(不久后他作出更正,受感染的为35000+「代码段」,而不是资源库)

Lacy表示,目前,包括crypto, golang, python, js, bash, docker, k8s在内的著名资源库均受到影响,波及范围包括NPM脚本、Docker图像和安装文件等。

d97e2790dca2305246573b5f8824d70a.png

他表示,目前看上去这些恶意的commit看上去人畜无害,起的名字看起来像是例行的版本更新。

5b7f790d0d37857641f9802d87df9569.png

而从资源库历史变动记录看,有些commit来自于原库主,有些则显示用户不存在,还有一些属于归档资源库。

至于攻击的方式,攻击者会将库中的多种加密信息上传到自己的服务器上,包括安全密钥、AWS访问密钥、加密密钥等。

16fba747127f967dff04e1f048b1a1a5.png

上传后,攻击者就可以在你的服务器上运行任意代码。

听上去很可怕,有没有?

而除了窃取加密信息外,攻击者还会构建假的资源库链接,并以合法的资源库形式向Github提交clone,从而甩锅给资源库的原作者。

3d921485ee4cc70bb7f283666087963c.png

Lacy表示,这些漏洞和攻击是他浏览一个通过谷歌搜索找到的project时发现的,所以首先要注意的是,不要随便安装网上搜到的什么奇奇怪怪的package。

另外,要防止中招的最好方法是,使用GPG加密签名。

目前,Lacy表示,已经向Github报告了他发现的情况,目前暂时还未见Github官方作出回应。

f88c77055ae50c0539190d938b0a5c9b.png

最新消息是,据BleepingComputer报道, Github在收到恶意事件报告后,已经清除了大部分包含恶意内容的资源库。

按照这个网站的说法 ,实际上,35000个原始资源库并未「被劫持」 ,而是在clone中被添加了恶意内容。数以千计的后门被添加到了正常合法项目的副本里(fork或clone),以达到推送恶意软件的目的。

参考资料:

https://twitter.com/stephenlacy/status/1554697077430505473

https://www.bleepingcomputer.com/news/security/35-000-code-repos-not-hacked-but-clones-flood-github-to-serve-malware/

a5619f867d988b8bce9758f481f41dc9.png

outside_default.png

点个在看 paper不断!

视学算法
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
GIT&GIthub; 全套视频教程 课件 安装包 全套 不加密
08-15
GIT&GIthub; 全套视频教程 课件 安装包 全套 不加密GIT&GIthub; 全套视频教程 课件 安装包 全套 不加密GIT&GIthub; 全套视频教程 课件 安装包 全套 不加密
keynuker::locked_with_key::collision:KeyNuker-nuke AWS意外泄露Github
02-03
这种疏忽可能导致严重的安全问题,让恶意攻击者有机会滥用这些,对企业的资源造成破坏或盗取数据。为了解决这个问题,KeyNuker应运而生。 KeyNuker是一款基于Golang编写的开源工具,它利用GitHub API来扫描用户...
GitHub又受攻击
stormzhang的专栏
01-28 456
最近号称「全球最大同性交友网站GitHub」又攻击了,这几天都不稳定,今天早上又挂了,国外的程序员们纷纷表示:GitHub挂了没法上班了。充分说明GitHub在程序员...
什么!GitHub被“中介”攻击了?中间人攻击
开发者技术前线-DevolperFront
03-27 1160
点击“开发者技术前线”,选择“星标????”在看|星标|留言, 真爱来自:开源中国26 日-27 日,国内无法访问 GitHub(从国外访问正常,并且...
GitHub受MITM(中间人)攻击
champyin的博客
03-27 427
昨天下午4点多起,github pages 然不能访问,今早,GitHub 官网也出现不能访问的情况。访问这些网站时,浏览器统一检测出证书无效。现在是2020年3月27日北京时间13点...
GitHub源码攻击事件
weixin_34146986的博客
05-23 249
2019独角兽企业重金招聘Python工程师标准>>> ...
超详细!!!GitHub详细教程
07-02
Git本身是一个分布式版本控制系统,能够高效地管理从小到大各种规模的项目,确保代码的安全性和可追溯性。GitHub由Linus Torvalds为Linux内核开发而创建,但后来逐渐成为全球最大的开源软件社区。 **1. 创建GitHub...
ghaction-import-gpg:GitHub Action轻松导入GPG
02-03
GitHub Action,轻松导入GPG。 如果您有兴趣,我的其他 GitHub动作! 产品特点 适用于Linux,MacOS和Windows 允许使用提供的码为gpg-agent的内部缓存添加种子 从运行器中清除导入的GPG,缓存信息并杀死...
基于机器学习的加密恶意流量分析与检测平台+源代码+文档说明
最新发布
11-09
<项目介绍> 该资源内项目源码是个人的毕设,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用!...
github-repo-size:Firefox插件,显示Github存储库的大小
05-02
:warning: 这个插件使用GitHub API返回的大小,由于GitHub如何存储git存储库,它可能是不正确的! 有关更多信息,请参见和。 用法 从下载插件,或者,如果愿意,可以从以用户脚本的形式下载该项目。 私人仓库 要...
我的Linux系统开始学习的过程
Linuxprobe18的博客
05-23 181
Linux系统,不知大家是否了解。接触计算机不多或对计算机不感冒的人可能对其比较陌生,曾经的我也是。上大学前的我的确对Linux一无所知,那时候接触面窄,都没有听说过此名字,上了大学后,身边的人有学习或者用此系统的才知道Linux的存在。那今天我就聊聊我学习Linux的过程。 首先,从我认识Linux说起,记得上大学时,无论是上课听讲还是做作业几乎都会应用到多媒体网络,电脑好像成为了必需品。...
GitHub攻击者正在利用被盗 OAuth 令牌攻击数十家组织机构
smellycat000的专栏
04-18 154
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士GitHub 提醒称,攻击者正在利用盗取的、签发给 Heroku 和 Travis-CI 的OAuth 用户令牌从私有仓库下载数据。由于攻击者在2022年4月12日就已开始发动攻击,因此他们已经访问并从数十家使用由 Heroku 和 Travis-CI 维护的 OAuth 应用(包括npm)的组织机构受害者处盗取数据。G...
GitHub 部分仓库遇黑客攻击 (2019年5月)
考研数学笔记、高等数学笔记、线性代数笔记、计算机专业课资源
05-11 1735
2019年5月3日[1],GitHub 上多个仓库的代码和提交记录被黑客删除并被替换成一个名为 “warning” 的文件,文件中的内容为: To recover your lost code and avoid leaking it: Send us 0.1 Bitcoin(BTC) to our Bitcoin address 1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9...
GitHub 被中间人攻击了?中间人攻击是什么?
ABCCloud的博客
03-30 989
26 日-27 日,国内无法访问 GitHub(从国外访问正常,并且显示证书颁发者不同于国内),同时京东等网站也相继出现同一问题。目前受影响的主要是部分地区用户,中国移动、中国联通、中国电信以及教育网均可复现该问题。 目前 GitHub 的访问已经恢复正常,但 GitHub 官方还未就此事说明情况。 根据各路网友的分析,GitHub 受了中间人攻击,具体手段还未明,但这很有可能是基于 D...
CTF-SSH私泄露
qq_39056867的博客
10-18 1066
CTF-SSH私泄露 实验环境 运行在Oracle VM VirtulBox上的靶场:192.168.88.142 Kali攻击机:192.168.88.143 实验内容 对于只是给定一个对应IP地址的靶场机器,我们需要用对其进行扫描,探测开放的服务,使用命令nmap -sV IP对靶机进行扫描,探测开放的服务: ...
GitHub 推出安全新功能,帮助开源软件发现漏洞和机信息
smellycat000的专栏
05-07 516
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队本周三,GitHub宣布推出两个安全新功能,旨在帮助开发人员找到代码中的漏洞和潜在的敏感机信息。GitHub 在 Sat...
github优质网络安全链接笔记
u011975363的专栏
07-14 206
poc 服务器模板注入:https://github.com/epinna/tplmap goby poc:https://github.com/luck-ying/Library-POC
数千GitHub 仓库正在传播含有恶意软件的虚假PoC 利用
smellycat000的专栏
10-24 534
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士荷兰莱顿大学高级计算机科学学院的研究人员发现,GitHub 上的数千个仓库为多个漏洞提供虚假的PoC 利用,其中某些PoC 中包含恶意软件。GitHub 是最大的代码托管平台之一,研究人员通过该平台发布PoC 利用,帮助安全社区验证漏洞修复方案或者判断漏洞的影响和范围。研究人员发布文章指出,受恶意软件感染的可能性高达10.3%,不包括已证实的虚假...
github:解决项目依赖的安全隐患
foreverzwl
05-13 987
github上第一次上传了自己的项目,然后就收到了安全警告。 作为新手,当然也是对怎么解决这个问题,感到一头雾水。经过一番摸索之后,在这里记录并分享一下解决方式。先点进去看看是什么问题。 然后点击依赖名称进去看看详细情况: 然后我们打开我们项目中的package.json文件。这里我一开始在解决的时候,我百度了一下,然后有说法是在package-lock.json文件中查找依赖名称进行修改,然后我一查,能找到好多个地方都有这个依赖名称,我头都大了。幸好后面我机智的觉得可能在package
githubssh
09-13
IDEAgitHub SSH是一种用于身份验证和数据加密对。具体来说,SSH由公和私组成。用户可以将公添加到其GitHub帐户中,以便在与GitHub进行通信时进行身份验证。私则保留在用户本地,并用于解...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值