推特用戶 @Stephen Lacy 發(fā)現(xiàn) GitHub 上存在大規(guī)模的混淆惡意攻擊，目前 GitHub 上有超過 35,000 個惡意文件 / 克隆倉庫，包括 crypto、golang、python、js、bash、docker、k8s 等知名項目。

這些惡意文件 / 克隆倉庫會附帶一行惡意代碼：

hxxp://ovz1.j19544519.pr46m.vps.myjino[.]ru

它不僅泄露了用戶的環(huán)境變量 ，而且還包含一個單行后門，會將腳本、應用程序、筆記本電腦（電子應用程序）等整個 ENV 發(fā)送到攻擊者的服務器，ENV 包括受害者的安全密鑰、AWS 訪問密鑰、加密密鑰等帳戶憑證。

在 GiuHub 搜索這行惡意代碼會出現(xiàn) 35788 個代碼結(jié)果，其中約 13000 個搜索結(jié)果來自一個名為 “redhat-operator-ecosystem” 的倉庫，這個庫現(xiàn)在已從 GitHub 中刪除。

這些惡意攻擊偽裝得非常好，看起來像人畜無害的提交，比如帶著 “bump version to 0.3.11” 之類的消息：

其中一些被混淆成合法的 PR，但其實倉庫沒有收到任何 PR，反而倉庫中的每個 go 文件都被感染了：

其中一些克隆倉庫的歷史提交記錄包括來自原作者的提交，但這些提交未經(jīng) GPG 驗證，意味著這是攻擊者通過克隆倉庫偽裝的。除了原作者，惡意軟件也可能偽裝成其他開發(fā)者，但點進去就會發(fā)現(xiàn)用戶不存在。

這部分惡意攻擊與 GiuHub 本身的漏洞相關(guān)，比如之前我們報道過的 Linus 利用 GitHub 漏洞發(fā)布惡作劇 README，用戶可以 “通過 git 電子郵件地址冒充用戶” ，然后利用 https://github.com/my/project/blob/<faked_commit> 這種 URL  發(fā)布任意提交。

目前大部分惡意文件都已被清理，但仍有新的在產(chǎn)生，建議大家使用官方項目存儲庫中的軟件，注意那些惡意仿冒域名的倉庫或分支 / 克隆，并使用 GPG 簽署每個提交。