GitHub面临影响项目的广泛恶意软件攻击，包括加密

据悉，主要开发者平台GitHub面临广泛的恶意软件攻击，并在一天内报告了35,000次“代码命中”，数千个基于Solana的钱包被盗用数百万美元。

GitHub开发人员StephenLucy强调了这次广泛的攻击，他在周三早些时候首次报道了这一事件。开发人员在查看他在Google搜索中找到的项目时遇到了这个问题。

到目前为止，已经发现各种项目——来自加密、Golang、Python、JavaScript、Bash、Docker和Kubernetes——都受到了攻击的影响。恶意软件攻击针对docker镜像、安装文档和NPM脚本，这是为项目捆绑常用shell命令的一种便捷方式。

为了欺骗开发人员并访问关键数据，攻击者首先创建了一个虚假存储库（一个存储库包含项目的所有文件和每个文件的修订历史），并将合法项目的克隆推送到GitHub。例如，以下两个快照显示了这个合法的加密矿工项目及其克隆。

其中许多克隆存储库被推送为“拉取请求”，这让开发人员可以告诉其他人他们已推送到GitHub存储库中的分支的更改。

一旦开发人员成为恶意软件攻击的牺牲品，脚本、应用程序或笔记本电脑（电子应用程序）的整个环境变量(ENV)就会被发送到攻击者的服务器。ENV包括安全密钥、AmazonWebServices访问密钥、加密密钥等等。

开发人员已向GitHub报告了该问题，并建议开发人员对他们对存储库所做的修订进行GPG签名。GPG密钥通过提供一种验证所有修订来自受信任来源的方法，为GitHub帐户和软件项目增加了一层额外的安全性。