在Apiiror最近的一份報(bào)告中,安全研究和數(shù)據(jù)科學(xué)團(tuán)隊(duì)發(fā)現(xiàn)了一次大規(guī)模的攻擊。Apiiro將其稱為“惡意存儲(chǔ)庫(kù)混淆”,并估計(jì)有超過10萬個(gè)GitHub存儲(chǔ)庫(kù)受到影響,甚至可能有數(shù)百萬個(gè)。
報(bào)告稱:“在GitHub等類似平臺(tái)上輕松自動(dòng)生成賬戶和存儲(chǔ)庫(kù),使用舒適的API和易于繞過的軟速率限制,再加上隱藏的大量存儲(chǔ)庫(kù),使其成為秘密感染軟件供應(yīng)鏈的完美目標(biāo)。”
GitHub存儲(chǔ)庫(kù)是GitHub用戶可以上傳代碼的地方,有一些非常受歡迎的存儲(chǔ)庫(kù),經(jīng)常被很多人搜索和下載。在水坑攻擊(Watering Hole Attack)中,攻擊者下載流行的存儲(chǔ)庫(kù),添加惡意代碼后重新上傳到GitHub。一旦攻擊者重新上傳了惡意存儲(chǔ)庫(kù),他們就會(huì)使用自動(dòng)化技術(shù)對(duì)存儲(chǔ)庫(kù)進(jìn)行數(shù)千次fork分叉。然后,他們通過社交媒體、Discord和其他方式向目標(biāo)受眾傳播假版本的存儲(chǔ)庫(kù)。
報(bào)告還稱:“GitHub已收到通知,大部分惡意代碼庫(kù)已被刪除,但該活動(dòng)仍在繼續(xù),試圖注入惡意代碼的攻擊正變得越來越普遍。”
從報(bào)告中獲悉,該攻擊于2023年5月開始,呈指數(shù)級(jí)增長(zhǎng)。這種攻擊似乎面臨一種“打地鼠”的情況,GitHub必須在代碼上傳后嘗試檢測(cè)代碼,但可能為時(shí)已晚。隨著這些攻擊的繼續(xù),越來越多的用戶可能會(huì)被感染。
