Github又被人惡意攻擊了？還是涉及35000資源庫的大規模攻擊？ 這個消息不是官方消息，是推特用戶@Stephen Lacy在推特上發出來的。 

個人資料顯示，Stephen Lacy是一位軟件工程師，從事領域為密碼學和開源，還是一位游戲開發者，開發了一款名為「PlayGodfall」的游戲。 

他聲稱，自己發現了Github上的廣泛的大規模惡意攻擊行為。目前已有超過35000個資源庫受到感染。 （不久后他作出更正，受感染的為35000+「代碼段」，而不是資源庫） Lacy表示，目前，包括crypto, golang, python, js, bash, docker, k8s在內的著名資源庫均受到影響，波及范圍包括NPM腳本、Docker圖像和安裝文件等。

他表示，目前看上去這些惡意的commit看上去人畜無害，起的名字看起來像是例行的版本更新。

而從資源庫歷史變動記錄看，有些commit來自于原庫主，有些則顯示用戶不存在，還有一些屬于歸檔資源庫。 至于攻擊的方式，攻擊者會將庫中的多種加密信息上傳到自己的服務器上，包括安全密鑰、AWS訪問密鑰、加密密鑰等。

上傳后，攻擊者就可以在你的服務器上運行任意代碼。 聽上去很可怕，有沒有？ 而除了竊取加密信息外，攻擊者還會構建假的資源庫鏈接，并以合法的資源庫形式向Github提交clone，從而甩鍋給資源庫的原作者。

Lacy表示，這些漏洞和攻擊是他瀏覽一個通過谷歌搜索找到的project時發現的，所以首先要注意的是，不要隨便安裝網上搜到的什么奇奇怪怪的package。 另外，要防止中招的最好方法是，使用GPG加密簽名。 目前，Lacy表示，已經向Github報告了他發現的情況，目前暫時還未見Github官方作出回應。

最新消息是，據BleepingComputer報道， Github在收到惡意事件報告后，已經清除了大部分包含惡意內容的資源庫。 按照這個網站的說法 ，實際上，35000個原始資源庫并未「被劫持」 ，而是在clone中被添加了惡意內容。

數以千計的后門被添加到了正常合法項目的副本里（fork或clone），以達到推送惡意軟件的目的。