GitHub phải đối mặt với các cuộc tấn công phần mềm độc hại lan rộng ảnh hưởng đến các dự án, bao gồm cả tiền điện tử

Nền tảng dành cho nhà phát triển lớn GitHub đã phải đối mặt với một cuộc tấn công phần mềm độc hại trên diện rộng và đã báo cáo 35.000 “lượt truy cập mã” vào một ngày chứng kiến hàng nghìn Solana (MẶT TRỜI ) đã rút hàng triệu đô la.

Nhà phát triển GitHub Stephen Lucy, người đầu tiên báo cáo vụ việc trước đó vào thứ Tư, đã nhấn mạnh cuộc tấn công lan rộng. Nhà phát triển đã gặp vấn đề này khi xem xét một dự án mà anh ấy tìm thấy trên tìm kiếm của Google.

Tôi đang phát hiện ra thứ dường như là một cuộc tấn công phần mềm độc hại quy mô lớn vào@github .

- Hiện có hơn 35 nghìn kho lưu trữ bị nhiễm
- Cho đến nay đã tìm thấy trong các dự án bao gồm: crypto, golang, python, js, bash, docker, k8s
- Nó được thêm vào tập lệnh npm, hình ảnh docker và tài liệu cài đặtpic.twitter.com/rq3CBDw3r9
— Stephen Lacy (@stephenlacy)Ngày 3 tháng 8 năm 2022

Cho đến nay, nhiều dự án từ tiền điện tử, Golang, Python, js, Bash, Docker và Kubernetes đã bị ảnh hưởng bởi cuộc tấn công. Cuộc tấn công của phần mềm độc hại được nhắm mục tiêu vào các hình ảnh docker, cài đặt tài liệu và tập lệnh npm, đây là một cách thuận tiện để gói các lệnh shell phổ biến cho một dự án.

Để lừa các nhà phát triển và truy cập dữ liệu quan trọng, trước tiên kẻ tấn công tạo một kho lưu trữ giả mạo (một kho lưu trữ chứa tất cả các tệp của dự án và lịch sử sửa đổi của từng tệp) và đẩy các bản sao của các dự án hợp pháp lên GitHub. Ví dụ: hai ảnh chụp nhanh sau đây hiển thị dự án khai thác tiền điện tử hợp pháp này và bản sao của nó.

Dự án khai thác tiền điện tử ban đầu Nguồn: Gcơ hội

Dự án khai thác tiền điện tử nhân bản Nguồn:Github

Nhiều kho lưu trữ nhân bản này đã được đẩy dưới dạng “yêu cầu kéo”. Yêu cầu kéo cho phép nhà phát triển nói với những người khác về những thay đổi mà họ đã đẩy tới một nhánh trong kho lưu trữ trên GitHub.

Có liên quan:Nomad được cho là đã bỏ qua lỗ hổng bảo mật dẫn đến khai thác 190 triệu đô la

Sau khi nhà phát triển trở thành nạn nhân của cuộc tấn công phần mềm độc hại, toàn bộ biến môi trường (ENV) của tập lệnh, ứng dụng hoặc máy tính xách tay (ứng dụng điện tử) sẽ được gửi đến máy chủ của kẻ tấn công. ENV bao gồm khóa bảo mật, khóa truy cập AWS, khóa mật mã, v.v.

Nhà phát triển đã báo cáo sự cố cho GitHub và khuyên các nhà phát triển GPG ký vào các sửa đổi của họ đối với kho lưu trữ. Khóa GPG thêm một lớp bảo mật bổ sung cho tài khoản GitHub và dự án phần mềm của bạn bằng cách cung cấp cách xác minh tất cả các bản sửa đổi đến từ một nguồn đáng tin cậy.