Nhà phát triển đã phát hiện lỗ hổng bảo mật và yêu cầu các nhà phát triển ký các bản sửa đổi của họ bằng khóa GPG để đảm bảo tất cả các bản sửa đổi của họ về dự án có thể được xác minh một cách đáng tin cậy.
Nền tảng GitHub đã phải đối mặt với một cuộc tấn công phần mềm độc hại trên diện rộng với báo cáo 35.000 "lần truy cập mã" vào cùng thời điểm hàng nghìn ví trên Solana bị bị hacker rút sạch tiền.
Vụ hack đã được nhà phát triển GitHub Stephen Lucy phát hiện trong khi đang xem xét một dự án mà anh ta tìm thấy trên Google Search
I am uncovering what seems to be a massive widespread malware attack on @github.
– Currently over 35k repositories are infected
– So far found in projects including: crypto, golang, python, js, bash, docker, k8s
– It is added to npm scripts, docker images and install docs pic.twitter.com/rq3CBDw3r9— Stephen Lacy (@stephenlacy) August 3, 2022
Không chỉ những nền tảng bị tấn công trong đó có cả các dự tiền điện tử bao gồm Golang, Python, JavaScript, Bash, Docker và Kubernetes đã bị phát hiện là bị ảnh hưởng bởi cuộc tấn công. Cuộc tấn công phần mềm độc hại nhắm mục tiêu vào các hình ảnh docker, cài đặt tài liệu và tập lệnh NPM, đây là một cách thuận tiện để gói các lệnh shell phổ biến cho một dự án.
Để đánh lừa các nhà phát triển và truy cập dữ liệu quan trọng, kẻ tấn công trước tiên tạo ra một kho lưu trữ giả mạo (một kho lưu trữ chứa tất cả các tệp của dự án và lịch sử sửa đổi của mỗi tệp) và đẩy các bản sao của các dự án hợp pháp lên GitHub.
Dự án mining tiền điện tử chính thức. Nguồn: Github
Dự án mining tiền điện tử clone. Nguồn: Github
Nhiều kho lưu trữ bản sao trong số này đã được đẩy dưới dạng "pull requets", cho phép các nhà phát triển thông báo với những người khác về những thay đổi mà họ đã đẩy đến một nhánh trong kho lưu trữ trên GitHub.
Khi nhà phát triển trở thành con mồi của cuộc tấn công phần mềm độc hại, toàn bộ biến môi trường (ENV) của tập lệnh, ứng dụng hoặc máy tính xách tay (ứng dụng Electron) sẽ được gửi đến máy chủ của kẻ tấn công. ENV bao gồm khóa bảo mật, khóa truy cập Amazon Web Services, khóa tiền điện tử và nhiều hơn nữa.
Nhà phát triển đã báo cáo vấn đề với GitHub và khuyên các nhà phát triển nên GPG – ký các bản sửa đổi của họ được thực hiện cho kho lưu trữ. Khóa GPG giúp thêm một lớp bảo mật bổ sung cho các tài khoản GitHub và các dự án phần mềm bằng cách cung cấp một cách xác minh tất cả các bản sửa đổi đến từ một nguồn đáng tin cậy.