【魚目混珠】GitHub平台藏35,000惡意專案開發者誤用帳戶盡失
軟件開發者 Stephen Lacy 最近一份調查發現,開發者經常使用的開源程式碼平台 GitHub 上出現 35,000 個懷疑含惡意功能的專案,它們可以暗中竊取使用者儲存的帳戶驗證資料,其中一條程式碼更可讓黑客遙距執行指令,如經常使用 GitHub 者要留神。
GitHub 是全球最大的開源社群,它可供軟件開發者儲存程式碼專案,亦可讓開發者們之間進行交流,現時 GitHub 上已有超過七千萬會員,會員可以隨意瀏覽或下載其他會員上載的專案,不單有助開發者學習編程,甚至可直接將專案內容套用在自己的軟件內,可說是開發者的必備後台。不過,黑客亦看準 GitHub 的高使用量,因此會用各種方法散播惡意軟件,其中之一是上載有惡意功能的專案,如 GitHub 或其他會員未能發現,便可成功感染下載者的電腦設備。
這次由 Stephen 發現的方法則是複製其他開發者的原版專案,暗中加入惡意功能再上傳 GitHub,由於黑客會繼續在專案內保留原開發者的用戶名稱及電郵地址,只將專案名稍為改動,因此能製造假象,令其他會員誤以為專案沒有可疑之處而放心使用。Stephen 首先在平台上發現其中一個專案有上述可疑功能,透過搜尋內裡使用的 URL,因此成功發現其餘三萬多個可疑專案。經專家深入調查後,再從中發現有 13,000 個專案是出自一個名為 redhat-operator-ecosystem 的倉庫,而這個倉庫現時已被 GitHub 移除。
在可疑的三萬多個專案中,都不涉及 crypto、golang、python、docker、k8s 等官方發表專案,但專家指問題仍不可忽視,因為不少開發者也會使用其他倉庫的專案。如未經分析便取用,專家說含惡意功能的專案能夠竊取受害者專案內的環境變數,包括使用的 API 密鑰、代幣、AWS 帳戶憑證等等,甚至在受害者電腦設備內執行惡意功能。專家建議如開發者要使用其他人的專案,必須在執行前細心分析內裡的編碼,而且最好到原開發者的倉庫內下載,避免有黑客魚目混珠。
相關文章:【雙重標準】Scotiabank教客戶用密碼自己存GitHub反而唔用
https://www.wepro180.com/20191002_github/
