根据最新的报道,微软的GitHub平台遭遇了一场大规模的网络攻击。这次攻击被称为“恶意存储库混淆”,据安全研究团队Apiiro估计,有超过10万个GitHub存储库受到了影响。
这种攻击的方式是先克隆一个安全且干净的存储库,然后添加恶意的、模糊的代码后再重新上传。攻击者在GitHub等类似平台上利用API和易于绕过的软速率限制,以及大量隐藏的存储库,使其成为秘密感染软件供应链的完美目标。
GitHub存储库是GitHub用户可以上传代码的地方,其中一些非常受欢迎的存储库,经常被很多人搜索和下载。在这种水坑攻击(Watering Hole Attack)中,攻击者下载流行的存储库,添加恶意代码后重新上传到GitHub。一旦攻击者重新上传了恶意存储库,他们就会使用自动化技术对存储库进行数千次fork分叉,并通过社交媒体、Discord和其他方式向目标受众传播假版本的存储库。
据报道,这种攻击自2023年5月开始,呈指数级增长。GitHub在代码上传后尝试检测代码,但可能为时已晚。随着这些攻击的继续,越来越多的用户可能会被感染。
尽管GitHub已经收到了通知,并且大部分恶意代码库已经被删除,但是该活动仍在继续,试图注入恶意代码的攻击正变得越来越普遍。因此,对于GitHub的用户来说,需要保持警惕,及时检查自己的存储库是否被篡改,同时也要注意不要下载和使用来源不明的代码。