GitHub با حملات بدافزار گسترده‌ای مواجه می‌شود که بر پروژه‌ها، از جمله رمزنگاری، تأثیر می‌گذارد

پلتفرم توسعه‌دهنده اصلی GitHub با یک حمله بدافزار گسترده مواجه شد و در روزی که شاهد تخلیه هزاران کیف پول مبتنی بر Solana به مبلغ میلیون‌ها دلار بود، 35,000 "کد بازدید" را گزارش کرد.

این حمله گسترده توسط استفان لوسی، توسعه‌دهنده GitHub، که اولین بار در اوایل چهارشنبه این حادثه را گزارش کرد، برجسته شد. توسعه‌دهنده هنگام بررسی پروژه‌ای که در جستجوی گوگل پیدا کرده بود، با این مشکل مواجه شد.

من در حال کشف چیزی هستم که به نظر می رسد یک حمله بدافزار گسترده گسترده است github.
- در حال حاضر بیش از 35 هزار مخزن آلوده هستند
- تاکنون در پروژه هایی از جمله: رمزنگاری، گلانگ، پایتون، js، bash، docker، k8s یافت شده است.
– به اسکریپت های npm، تصاویر داکر و نصب اسناد اضافه می شود pic.twitter.com/rq3CBDw3r9
- استفن لیسی (@stephenlacy) اوت 3، 2022

تاکنون، پروژه‌های مختلفی – از رمزارز، گلانگ، پایتون، جاوا اسکریپت، Bash، Docker و Kubernetes – تحت تأثیر این حمله قرار گرفته‌اند. حمله بدافزار تصاویر داکر، نصب اسناد و اسکریپت NPM را هدف قرار می‌دهد، که راهی مناسب برای بسته‌بندی دستورات پوسته رایج برای یک پروژه است.

برای فریب دادن توسعه دهندگان و دسترسی به داده های حیاتی، مهاجم ابتدا یک مخزن جعلی ایجاد می کند (یک مخزن شامل تمام فایل های پروژه و تاریخچه ویرایش هر فایل است) و کلون هایی از پروژه های قانونی را به GitHub می فرستد. به عنوان مثال، دو عکس فوری زیر این پروژه استخراج ارز دیجیتال قانونی و شبیه سازی آن را نشان می دهد.

*پروژه اصلی استخراج کریپتو منبع: Github*

*پروژه استخراج رمز ارز شبیه سازی شده منبع: Github*

بسیاری از این مخازن شبیه‌سازی شده به عنوان «درخواست‌های کششی» تحت فشار قرار گرفتند، که به توسعه‌دهندگان اجازه می‌دهد تغییراتی را که به شعبه‌ای در یک مخزن در GitHub ارسال کرده‌اند، به دیگران اطلاع دهند.

مرتبط: گزارش شده است که Nomad آسیب پذیری امنیتی را نادیده گرفته است که منجر به سوء استفاده 190 میلیون دلاری شده است

هنگامی که توسعه دهنده قربانی حمله بدافزار می شود، کل متغیر محیطی (ENV) اسکریپت، برنامه یا لپ تاپ (برنامه های الکترونیکی) به سرور مهاجم ارسال می شود. ENV شامل کلیدهای امنیتی، کلیدهای دسترسی به خدمات وب آمازون، کلیدهای رمزنگاری و موارد دیگر است.

توسعه‌دهنده این مشکل را به GitHub گزارش کرده و به توسعه‌دهندگان توصیه کرده است که ویرایش‌های خود را در مخزن GPG امضا کنند. کلیدهای GPG با ارائه روشی برای تأیید اینکه همه ویرایش‌ها از یک منبع قابل اعتماد هستند، یک لایه امنیتی اضافی به حساب‌های GitHub و پروژه‌های نرم‌افزاری اضافه می‌کنند.