网络安全公司 Apiiro 报告称，GitHub 遭受了大规模攻击，可能影响成千上万的人。这种攻击涉及克隆安全且干净的存储库，添加恶意的、模糊的代码后重新上传。

在 Apiiror 最近的一份报告中，安全研究和数据科学团队发现了一次大规模的攻击。Apiiro 将其称为“恶意存储库混淆”，并估计有超过 10 万个 GitHub 存储库受到影响，甚至可能有数百万个。

报告称：“在 GitHub 等类似平台上轻松自动生成账户和存储库，使用舒适的 API 和易于绕过的软速率限制，再加上隐藏的大量存储库，使其成为秘密感染软件供应链的完美目标。”

GitHub 存储库是 GitHub 用户可以上传代码的地方，有一些非常受欢迎的存储库，经常被很多人搜索和下载。在水坑攻击（Watering Hole Attack）中，攻击者下载流行的存储库，添加恶意代码后重新上传到 GitHub。一旦攻击者重新上传了恶意存储库，他们就会使用自动化技术对存储库进行数千次 fork 分叉，如下图所示。然后，他们通过社交媒体、Discord 和其他方式向目标受众传播假版本的存储库。

报告还称：“GitHub 已收到通知，大部分恶意代码库已被删除，但该活动仍在继续，试图注入恶意代码的攻击正变得越来越普遍。”

IT之家从报告中获悉，该攻击于 2023 年 5 月开始，呈指数级增长。这种攻击似乎面临一种“打地鼠”的情况，GitHub 必须在代码上传后尝试检测代码，但可能为时已晚。随着这些攻击的继续，越来越多的用户可能会被感染。

• 大量中文赌博广告充斥GitHub，互联网犯罪分子正在 GitHub Issues 上大量灌入赌博类广告。一些著名的开源项目 Issues 已被此类广告塞满。这种公然践踏开源社区的无耻行径是互联网的毒瘤，更对中文群体形象构成了巨大负面影响。
• 大量中文赌博广告充斥GitHub，互联网犯罪组织正在 GitHub Issues 上大量灌入赌博类广告。一些著名的开源项目 Issues 已被此类广告塞满。这种公然践踏开源社区的无耻行径是互联网的毒瘤，更对中文群体形象构成了巨大负面影响。
• OpenAI开发GitHub竞品挑战其市场地位
• GitHub集成Claude和Codex AI编程智能体
• GitHub封禁大量成人游戏开发者及其仓库

• 🔥免费PC翻墙、安卓VPN翻墙APP
• 🔥灵魂之谜|中华文化|治国大道

来源：IT之家