GitHub сталкивается с широко распространенными атаками вредоносных программ

Крупная платформа разработчиков GitHub столкнулась с широко распространенной атакой и сообщила о 35 000 «попаданий по коду» в день, когда тысячи кошельков на базе Solana были истощены за миллионы долларов.

Широко распространенная атака была подчеркнута разработчиком GitHub Стивеном Люси, который впервые сообщил об инциденте ранее в среду. Разработчик столкнулся с проблемой, просматривая проект, который он нашел в поиске Google. До сих пор было обнаружено, что атака затронула различные проекты — от crypto, Golang, Python, JavaScript, Docker и Kubernetes. Атака вредоносного ПО направлена на образы docker, документацию по установке и сценарий NPM, что является удобным способом объединения общих команд оболочки для проекта.

Чтобы обмануть разработчиков и получить доступ к критически важным данным, злоумышленник сначала создает поддельный репозиторий (репозиторий содержит все файлы проекта и историю изменений каждого файла) и отправляет клоны законных проектов на GitHub.  Многие из этих репозиториев клонов были отправлены как «запросы на вытягивания», что позволило разработчикам рассказать другим об изменениях, которые они внесли в ветку в репозитории на GitHub.

Как только разработчик становится жертвой атаки вредоносного ПО, вся переменная среды (ENV) сценария, приложения или ноутбука (Electron apps) отправляется на сервер злоумышленника. ENV включает в себя ключи безопасности, ключи доступа Amazon Web Services, крипто-ключи и многое другое. Разработчик сообщил о проблеме GitHub и посоветовал разработчикам подписать GPG свои изменения, внесенные в репозиторий. Ключи GPG добавляют дополнительный уровень безопасности к учетным записям GitHub и программным проектам, предоставляя способ проверки того, что все изменения поступают из надежного источника.

Источник

🚀Регистрируемся на биржах с бонусами для вас по данным ссылкам:

⭐️Регистрация на Binance!➡️

⭐️Биржа CoinEx➡️

⭐️Биржа Huobi➡️

Добавить комментарий

Ваш адрес email не будет опубликован.