GitHub与恶意代码库分叉的斗争激增

安全社区发现，去年5月在Python Package Index(PyPI)上发起的恶意软件包分发工作现已扩展到GitHub。该活动已成功破坏了超过10万个代码库，标志着向软件供应链注入恶意代码的企图大幅增加。安全公司Apiiro报告了这一不断升级的威胁，强调了在使用自动化过程创建数千个危险分支之前克隆和感染合法存储库所涉及的策略。

战术揭示

攻击者的方法包括获取合法的代码库，用恶意软件加载程序(BlackCap-Grabber的一种变体)感染它们，然后以相同的名称重新上传到GitHub上。然后，这些有毒的代码库被分叉无数次，并在论坛和社交媒体上推广，欺骗开发人员下载和使用看似无害的代码，实际上却隐藏着有害的有效负载。这些有效负载被编程为窃取个人数据、各种应用程序的登录凭据、浏览器cookie和密码。来自Apiiro的Matan Giladi和Gil David详细描述了这些活动，强调在一系列额外的恶意行为之后，收集机密数据发送回攻击者的命令和控制服务器。

GitHub的回应和未来的挑战

尽管GitHub承诺为其1亿开发人员和超过4.2亿个代码库维护一个安全的平台，但攻击的规模和自动化带来了重大挑战。GitHub雇佣了专门的团队来检测、分析和删除违反可接受使用政策的内容，同时利用人工审查和机器学习技术。然而，事实证明，恶意存储库的自动和手动上传的绝对规模很难完全管理。由于一些攻击设法逃避检测机制，问题的规模暗示潜在的恶意存储库数量比目前已知的要多。

此外，恶意软件活动的有效性揭示了软件供应链中的漏洞，GitHub支持自动帐户和存储库生成的功能，以及其可访问的api和速率限制，放大了这些漏洞。在这些发现之后，再次呼吁加强软件供应链安全措施，强调拜登政府推动通过旨在加强对此类威胁的防御的框架和标准。

这种情况凸显了网络安全措施与攻击者不断演变的战术之间的永久军备竞赛。由于恶意软件的传播活动仍然活跃，开发人员和平台提供商(如GitHub)必须保持警惕，并不断适应，以有效地应对这些复杂的威胁。

原文《GitHub Battles Surge in Malicious Repository Forks》