首頁|必讀|視頻|專訪|運(yùn)營|制造|監(jiān)管|大數(shù)據(jù)|物聯(lián)網(wǎng)|量子|元宇宙|博客|特約記者
手機(jī)|互聯(lián)網(wǎng)|IT|5G|光通信|人工智能|云計(jì)算|芯片報(bào)告|智慧城市|移動(dòng)互聯(lián)網(wǎng)|會(huì)展
首頁 >> 報(bào)告 >> 正文

微軟GitHub遭大規(guī)模攻擊,安全專家稱超過10萬個(gè)存儲(chǔ)庫被感染

2024年3月4日 10:27  IT之家  作 者:汪淼

網(wǎng)絡(luò)安全公司 Apiiro 報(bào)告稱,GitHub 遭受了大規(guī)模攻擊,可能影響成千上萬的人。這種攻擊涉及克隆安全且干凈的存儲(chǔ)庫,添加惡意的、模糊的代碼后重新上傳。

在 Apiiror 最近的一份報(bào)告中,安全研究和數(shù)據(jù)科學(xué)團(tuán)隊(duì)發(fā)現(xiàn)了一次大規(guī)模的攻擊。Apiiro 將其稱為“惡意存儲(chǔ)庫混淆”,并估計(jì)有超過 10 萬個(gè) GitHub 存儲(chǔ)庫受到影響,甚至可能有數(shù)百萬個(gè)。

報(bào)告稱:“在 GitHub 等類似平臺(tái)上輕松自動(dòng)生成賬戶和存儲(chǔ)庫,使用舒適的 API 和易于繞過的軟速率限制,再加上隱藏的大量存儲(chǔ)庫,使其成為秘密感染軟件供應(yīng)鏈的完美目標(biāo)。”

GitHub 存儲(chǔ)庫是 GitHub 用戶可以上傳代碼的地方,有一些非常受歡迎的存儲(chǔ)庫,經(jīng)常被很多人搜索和下載。在水坑攻擊(Watering Hole Attack)中,攻擊者下載流行的存儲(chǔ)庫,添加惡意代碼后重新上傳到 GitHub。一旦攻擊者重新上傳了惡意存儲(chǔ)庫,他們就會(huì)使用自動(dòng)化技術(shù)對存儲(chǔ)庫進(jìn)行數(shù)千次 fork 分叉,如下圖所示。然后,他們通過社交媒體、Discord 和其他方式向目標(biāo)受眾傳播假版本的存儲(chǔ)庫。

報(bào)告還稱:“GitHub 已收到通知,大部分惡意代碼庫已被刪除,但該活動(dòng)仍在繼續(xù),試圖注入惡意代碼的攻擊正變得越來越普遍!

IT之家從報(bào)告中獲悉,該攻擊于 2023 年 5 月開始,呈指數(shù)級(jí)增長。這種攻擊似乎面臨一種“打地鼠”的情況,GitHub 必須在代碼上傳后嘗試檢測代碼,但可能為時(shí)已晚。隨著這些攻擊的繼續(xù),越來越多的用戶可能會(huì)被感染。

編 輯:章芳
聲明:刊載本文目的在于傳播更多行業(yè)信息,本站只提供參考并不構(gòu)成任何投資及應(yīng)用建議。如網(wǎng)站內(nèi)容涉及作品版權(quán)和其它問題,請?jiān)?0日內(nèi)與本網(wǎng)聯(lián)系,我們將在第一時(shí)間刪除內(nèi)容。本站聯(lián)系電話為86-010-87765777,郵件后綴為#cctime.com,冒充本站員工以任何其他聯(lián)系方式,進(jìn)行的“內(nèi)容核實(shí)”、“商務(wù)聯(lián)系”等行為,均不能代表本站。本站擁有對此聲明的最終解釋權(quán)。
相關(guān)新聞              
 
人物
工信部辛國斌:2023年全國行政村通5G覆蓋超過80%
精彩專題
CES 2024國際消費(fèi)電子展
2023年信息通信產(chǎn)業(yè)盤點(diǎn)暨頒獎(jiǎng)禮
飛象網(wǎng)2023年手機(jī)評選
第24屆中國國際光電博覽會(huì)
CCTIME推薦
關(guān)于我們 | 廣告報(bào)價(jià) | 聯(lián)系我們 | 隱私聲明 | 本站地圖
CCTIME飛象網(wǎng) CopyRight © 2007-2024 By CCTIME.COM
京ICP備08004280號(hào)-1  電信與信息服務(wù)業(yè)務(wù)經(jīng)營許可證080234號(hào) 京公網(wǎng)安備110105000771號(hào)
公司名稱: 北京飛象互動(dòng)文化傳媒有限公司
未經(jīng)書面許可,禁止轉(zhuǎn)載、摘編、復(fù)制、鏡像