2022年，8月3日，軟件工程師 Stephen Lacy 在社交媒體上發布消息稱，Github 正在遭受大規模惡意軟件攻擊，超 3.5 萬個代碼庫受影響，波及范圍涵蓋 Crypto、Golang、Pyhon、js、bash、Docker 和 k8s 等領域。

該惡意軟件被發現添加到 npm 腳本、Docker 圖像和安裝文檔中。Stephen Lacy 提醒，此攻擊可能會將被攻擊者的多種密鑰泄露給攻擊者，并建議用戶使用 GPG 簽署所有提交。

但是事實與此相反，GitHub 上的“35000 個項目”并未受到任何影響或損害，crypto、golang、python、js、bash、docker、k8s等官方項目不受影響。

另一名軟件工程師注意到Stephen Lacy 在 Twitter 上分享的代碼中的以下 URL：

hxxp://ovz1.j19544519.pr46m.vps.myjino[.]ru

而在GitHub 上搜索此 URL 時，有 35000 多個搜索結果顯示包含惡意 URL 的文件。因此，該圖表示可疑文件的數量而不是受感染的存儲庫：

惡意URL的 GitHub 搜索結果顯示超過35000個文件

進一步搜索后發現，在這3.5萬個惡意URL文件中，超過1.3萬個來自一個名為“redhat-operator-ecosystem”的存儲庫。目前這個存儲庫已經從GitHub 中刪除，搜索結果顯示“404”。Stephen Lacy工程師也對他的原始推文進行了更正和澄清。

惡意軟件為攻擊者遠程攻擊提供后門

雖然“GitHub 3.5萬個代碼庫被攻擊”是一個烏龍事件，但是有軟件工程師發現，大約有數千個GitHub代碼庫正在被惡意復制。

克隆開源代碼庫是一種常見的開發實踐，也是很多開發人員的基本操作。攻擊者正是利用了這一點，悄悄地在被復制的代碼庫中隱藏了惡意軟件，以此進行分發、推廣，一旦開發人員使用了被污染的代碼庫，那么將會被惡意軟件攻擊。

在收到軟件工程師的報告后，GitHub已經清除了大部分惡意存儲庫。但仍需提高警惕，安全專家提醒，此次攻擊者的主要目標就是那些防備心理不強的初級開發人員。

開發人員 James Tucker指出，包含惡意URL文件的GitHub存儲庫不僅泄露了用戶的環境變量 ，而且還包含一個單行后門。

克隆代碼庫存在惡意軟件

環境變量的泄露本身可以為攻擊者提供重要的秘密，例如用戶的 API 密鑰、令牌、Amazon AWS 憑證和加密密鑰等。單行指令（上面的第 241 行）則進一步允許遠程攻擊者在所有安裝和運行這些惡意克隆的人的系統上執行任意代碼。

據軟件工程師披露，絕大多數復制的存儲庫在上個月的某個時候被惡意代碼更改——時間從 6-20 天不等，甚至還觀察到了一些可追溯到2015年惡意提交的存儲庫。

最新的惡意URL提交者主要是來自安全專家，包括威脅情報分析師弗洛里安·羅斯 (Florian Roth)，他提供了Sigma規則檢測環境中的惡意代碼。具有諷刺意味的是，一些 GitHub 用戶在看到 Sigma 規則中存在惡意字符串（供防御者使用）時，開始錯誤地將由 Roth 維護的 Sigma GitHub 存儲庫報告為惡意。