вычисления techradar.com Новости

Будьте осторожны, пользователи GitHub: хакеры наводняют платформу вредоносными клонами

5 августа 2022 г.

Пользователи GitHub подвергаются атакам с помощью вредоносных копий законных репозиториев, недавно обнаружил исследователь.

Охотясь на разработчиков, у которых мало времени, безрассудных или просто перегруженных работой, кто-то копирует официальные проекты GitHub, такие как crypto, golang, python, js, bash, docker, k8s, давая им похожие имена. к исходным проектам и слегка видоизменив их таким образом, чтобы они содержали вредоносный код.

Хитрый план был впервые обнаружен разработчиком программного обеспечения Стивеном Лейси, который после просмотра одного проекта с открытым исходным кодом заметил скрытый вредоносный URL-адрес. в пределах. Быстрый поиск в GitHub вскоре показал, что один и тот же URL содержится более чем в 35 000 репозиториев.

Исходные репозитории не повреждены

Другой разработчик, Джеймс Такер, также обнаружил, что репозитории предназначены для перехвата переменных пользовательской среды, кражи ключей API, токенов, криптографических ключей, а также выполнения произвольного кода на затронутых конечные точки.

Эта информация может использоваться в атаках с целью кражи личных данных или программах-вымогателях< /a> кампании.

С тех пор GitHub удалил вредоносные репозитории и опубликовал короткое заявление через Twitter, в котором говорится: «GitHub расследует твит, опубликованный в среду, 3 августа 2022 года. Ни один репозиторий не был скомпрометирован. Вредоносный код был размещен в клонированных репозиториях, а не в самих репозиториях. Клоны были помещены в карантин, и GitHub или учетные записи сопровождающих не были скомпрометированы».

Подробнее

> GitHub недоволен новым помощником по программированию на основе ИИ<сильный>

> GitHub лучше отслеживает ваш опасный код

> Защитите свой трафик с помощью лучших брандмауэров< /strong>

Хотя большинство изменений вредоносного кода были внесены за последние пару месяцев, некоторые из них были внесены семь лет назад.
GitHub – один из крупнейших в мире репозиториев с открытым исходным кодом, поэтому его часто атакуют. Разработчикам рекомендуется всегда быть особенно осторожными при извлечении кода с платформы, обращая внимание на потенциальные опечатки или копии репозитория, клоны или форки.
Один из способов убедиться, что они смотрят на легитимный код, — это найти коммиты кода, подписанные ключами GPG авторов проекта, заключает издание.

Это лучшие антивирусные решения

Через: BleepingComputer

Оригинал

Recent Post

Вы не сможете назвать себя аудиофилом, пока всерьез не задумаетесь об элитном сетевом транспорте Luxman.
26 апреля 2024 г.

Режиссер No Rest for the Wicked защищает выпуск раннего доступа: «Это один из способов позволить разработчикам по-настоящему усовершенствовать продукт с течением времени»
26 апреля 2024 г.

В бесплатном обновлении Fallout 4 на PS5 обнаружена ошибка, из-за которой подписчики PS Plus Extra не могут получить доступ к новой версии, но скоро будет исправлено
26 апреля 2024 г.

Сообщается, что Nintendo Switch 2 будет больше своего предшественника и будет оснащен магнитными контроллерами Joy-Con.
26 апреля 2024 г.

Компания Logitech создала помощник на основе искусственного интеллекта, который, как она надеется, поможет вам работать умнее, а не усерднее, с ChatGPT.
26 апреля 2024 г.

Categories

Python

blockchain

web

hackernoon

вычисления

вычислительные компоненты

цифровой дом

игры

аудио

домашний кинотеатр

Интернет

Мобильные вычисления

сеть

фотосъемка видео

портативные устройства

программного обеспечения

телефон и связь

телевидение

видео

мир технологий

умные гиды

облако

искусственный интеллект

се

Samsung

умные города

digitaltrends

безопасность

техника и работа

cxo

мобильность

разработчик

5г

майкрософт

инновации