3
Github的35,000个开源项目被攻击
source link: https://www.jdon.com/61771
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
Github的35,000个开源项目被攻击
目前有超过 35,000 个开源项目的存储库被感染 ,包括:crypto、golang、python、js、bash、docker、k8s等类型。
这种攻击会将脚本、应用程序、笔记本电脑(电子应用程序)的整个 ENV 发送到攻击者的服务器!添加到 npm 脚本、docker 图像和安装文档中,ENV 包括: - 安全密钥 - AWS 访问密钥 - 加密密钥 ... 一旦上传了您的ENV环境设置,攻击者就会在您的服务器上运行任意代码。
根据其中一些repo提交历史记录发现,这种攻击有包括来自原作者的提交,但该提交未经 GPG 验证;其中一些被混淆为看起来合法的拉取请求。
这些提交中的大多数似乎是无害的,带有诸如“bump version to 0.3.11”之类的消息。攻击者还会创建 FAKE orgs/repos 并将 LEGIT 项目的克隆推送到 github。
详细点击标题
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK