GitHub目前正在努力遏制一場持續性的攻擊,有加密貨幣相關的犯罪團夥利用自動化工具創建大量GitHub賬號,然後再去自動化fork知名的存儲庫,在這些存儲庫裡添加攜帶後門程序。這些後門程序主要針對的是加密貨幣投資者,即如果用戶或開發者不慎使用這些帶有後門的項目,他們的加密錢包數據可能會被竊取,進而損失資金。
犯罪團夥選擇拿 GitHub 當目標自然也是很有道理的,GitHub 在谷歌搜索上的權重非常高、點擊量更大,不少用戶其實無法分辨 GitHub 上的項目是原項目還是其他人 fork 的版本,因此也更容易中招。
但這種自動化、大規模的對 GitHub 展開襲擊還是很少見的,犯罪團夥自然知道如此規模的攻擊必然會引起 GitHub 的註意以及進行技術對抗,但犯罪團夥還是這麼幹,說明他們也有自信自己的自動化系統可以在 GitHub 的圍追堵截下繼續工作。
事實上也確實如此,GitHub 目前已經刪除數百萬個有問題的存儲庫,這些存儲庫主要 fork 一些大的、知名的存儲庫,被 fork 的存儲庫大約有 10 萬個。
這種也屬於供應鏈攻擊,而針對 GitHub 發起的供應鏈攻擊數不勝數,但是出現百萬級別的惡意存儲庫也是極為少見的,目前 GitHub 正在使用人工審查 + 大規模機器學習檢測來刪除這些惡意存儲庫,然而還是有一些攜帶後門的存儲庫成為漏網之魚,這些漏網之魚有可能會被用戶下載。
目前沒有證據表明這些漏網之魚的生命周期是多久,但 GitHub 哪怕是遲個一兩天才把漏網之魚檢測出來,在這一兩天裡可能也會有用戶中招。
所以,下次從 GitHub 上下載內容時記得看看 issues、提交歷史、star 數作為參考,避免從搜索引擎進入 fork 的存儲庫帶來安全風險。