Github又被人惡意攻擊了？還是涉及35000資源庫(kù)的大規(guī)模攻擊？ 這個(gè)消息不是官方消息，是推特用戶@Stephen Lacy在推特上發(fā)出來(lái)的。 

個(gè)人資料顯示，Stephen Lacy是一位軟件工程師，從事領(lǐng)域?yàn)槊艽a學(xué)和開(kāi)源，還是一位游戲開(kāi)發(fā)者，開(kāi)發(fā)了一款名為「PlayGodfall」的游戲。 

他聲稱，自己發(fā)現(xiàn)了Github上的廣泛的大規(guī)模惡意攻擊行為。目前已有超過(guò)35000個(gè)資源庫(kù)受到感染。 （不久后他作出更正，受感染的為35000+「代碼段」，而不是資源庫(kù)） Lacy表示，目前，包括crypto, golang, python, js, bash, docker, k8s在內(nèi)的著名資源庫(kù)均受到影響，波及范圍包括NPM腳本、Docker圖像和安裝文件等。

他表示，目前看上去這些惡意的commit看上去人畜無(wú)害，起的名字看起來(lái)像是例行的版本更新。

而從資源庫(kù)歷史變動(dòng)記錄看，有些commit來(lái)自于原庫(kù)主，有些則顯示用戶不存在，還有一些屬于歸檔資源庫(kù)。 至于攻擊的方式，攻擊者會(huì)將庫(kù)中的多種加密信息上傳到自己的服務(wù)器上，包括安全密鑰、AWS訪問(wèn)密鑰、加密密鑰等。

上傳后，攻擊者就可以在你的服務(wù)器上運(yùn)行任意代碼。 聽(tīng)上去很可怕，有沒(méi)有？ 而除了竊取加密信息外，攻擊者還會(huì)構(gòu)建假的資源庫(kù)鏈接，并以合法的資源庫(kù)形式向Github提交clone，從而甩鍋給資源庫(kù)的原作者。

Lacy表示，這些漏洞和攻擊是他瀏覽一個(gè)通過(guò)谷歌搜索找到的project時(shí)發(fā)現(xiàn)的，所以首先要注意的是，不要隨便安裝網(wǎng)上搜到的什么奇奇怪怪的package。 另外，要防止中招的最好方法是，使用GPG加密簽名。 目前，Lacy表示，已經(jīng)向Github報(bào)告了他發(fā)現(xiàn)的情況，目前暫時(shí)還未見(jiàn)Github官方作出回應(yīng)。

最新消息是，據(jù)BleepingComputer報(bào)道， Github在收到惡意事件報(bào)告后，已經(jīng)清除了大部分包含惡意內(nèi)容的資源庫(kù)。 按照這個(gè)網(wǎng)站的說(shuō)法 ，實(shí)際上，35000個(gè)原始資源庫(kù)并未「被劫持」 ，而是在clone中被添加了惡意內(nèi)容。

數(shù)以千計(jì)的后門被添加到了正常合法項(xiàng)目的副本里（fork或clone），以達(dá)到推送惡意軟件的目的。