数千个恶意仓库克隆传播恶意软件，GitHub正在调查

综合编译代码卫士 2022-12-04

收录于合集

#供应链安全 209 个

#开源 319 个

#SCA 56 个

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

今天，一名软件工程师发现数千个 GitHub 仓库的克隆遭修改且被分叉（复制），传播恶意软件。

虽然克隆开源仓库是一种常见的开发实践且这种行为在开发人员之间得到鼓励，但本案例涉及威胁行动者创建合法项目副本，而且这些副本遭恶意代码感染，通过恶意克隆攻击不知情的开发人员。GitHub 收到工程师的报告后已清除多数恶意仓库。

3.5万个GitHub 项目未遭劫持

软件工程师 Stephen Lacy 声称发现 GitHub 遭“大规模恶意软件攻击”，影响3.5万个软件仓库。但实际上GitHub 上的“3.5万个项目”并未以任何方式受影响或遭攻陷；而是数千个后门项目都是合法项目的副本（分叉或克隆），被威胁行动者用于推送恶意软件。

官方项目如 crypto、golang、python、js、bash、docker、k8s 等仍未受影响，但这并不意味着这项研究成果不重要。

Lacy 在查看“从谷歌搜索中发现的”一个开源项目时，发现代码中含有如下URL：

hxxp://ovz1.j19544519.pr46m.vps.myjino[.]ru

很多人发现当在 GitHub 上搜索该URL时，会显示3.5万多个搜索结果表明文件中包含该恶意URL。因此，这一数字代表的是可疑文件的数量而非受影响的仓库数量。

此外还发现在这35,788个代码结果中，超过1.3万个结果源自单一仓库“redhat-operator-ecosystem”。该仓库似乎目前已被下架。

恶意克隆可使攻击者获得远程访问权限

开发员 James Tucker 指出，包含该恶意URL的克隆仓库不仅会提取用户的环境变量，其中还包含一个一行代码的后门。

提取环境变量本身可使威胁行动者获得重要机密如API密钥、令牌、Amazon AWS 凭据和密钥等。但一行指令还可使远程攻击者在安装并运行这些恶意代码的系统上执行任意代码。

不清晰的时间线

在该攻击活动持续期间发现了截然不同的结果。

被分叉的多数仓库被恶意代码修改，有时在上个月就出现这种情况，从6天、13天、20天之前不等。然而，并未发现带有恶意提交的可追溯至2015年的仓库。

向GitHub 提交的包含该恶意URL的最新 commit 多数源自防御人员，如威胁情报分析师 Florian Roth 提供了检测环境中恶意代码的Sigma 规则。颇具讽刺意味的是，某些 GitHub 用户开始错误地报告称由Roth 维护的 Sigma 的 GitHub 仓库中存在错误，即Sigma 规则中存在恶意字符串（供防御人员使用）。

GitHub 回应

几个小时前，GitHub 已从平台上删除了这些恶意克隆。

GitHub 澄清，目前正在调查该事件。截止目前，并未见仓库遭攻陷；恶意代码被发布在克隆仓库中而非仓库本身；这些克隆是隔离的，因此并未见 GitHub 或维护人员的账户受陷。

目前尚不清楚这些被克隆的仓库下载情况。

作为最佳实践，需要记住使用官方项目仓库中的软件并注意可能类似于原始项目但却隐藏恶意软件的潜在typosquats 或仓库分叉/克隆。

由于克隆仓库可能持续保留带有原作者用户名和邮件地址的代码提交，可能会导致人们误解最新提交也是项目的原作者发送的，因此类似本案例的事件难以检测。通过真正的项目作者的 GPG 密钥对开源代码提交进行签名时验证代码真实性的其中一种方法。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

在线阅读版：《2022中国软件供应链安全分析报告》全文

在线阅读版：《2021中国软件供应链安全分析报告》全文

开源web应用中存在三个XSS漏洞，可导致系统遭攻陷