GitHub-ը բախվում է լայնածավալ չարամիտ հարձակումների, որոնք ազդում են նախագծերի վրա, ներառյալ կրիպտո

Խոշոր ծրագրավորողների GitHub պլատֆորմը բախվեց չարամիտ ծրագրերի համատարած հարձակման և տեղեկացրեց 35,000 «կոդի հարվածների» մասին մեկ օրում, երբ միլիոնավոր դոլարներ արժևորվեցին Սոլանայի վրա հիմնված հազարավոր դրամապանակներ:

Համատարած հարձակումը ընդգծվել է GitHub-ի մշակող Սթիվեն Լյուսիի կողմից, ով առաջին անգամ հայտնել է միջադեպի մասին չորեքշաբթի օրը: Մշակողը բախվել է խնդրին Google-ի որոնումներից հայտնաբերած նախագծի վերանայման ժամանակ:

Ես բացահայտում եմ այն, ինչը թվում է, թե զանգվածային համատարած չարամիտ հարձակում է @github.
– Ներկայումս վարակված է ավելի քան 35 հազար պահոց
– Մինչ այժմ հայտնաբերվել են նախագծերում, այդ թվում՝ կրիպտո, գոլանգ, python, js, bash, docker, k8s
– Այն ավելացվում է npm սկրիպտներին, դոկերի պատկերներին և տեղադրում փաստաթղթերը pic.twitter.com/rq3CBDw3r9
— Սթիվեն Լեյսի (@stephenlacy) Օգոստոս 3, 2022

Մինչ այժմ պարզվել է, որ տարբեր նախագծեր՝ կրիպտո, Golang, Python, JavaScript, Bash, Docker և Kubernetes-ից, տուժել են հարձակումից: Վնասակար ծրագրերի հարձակումը ուղղված է դոկերի պատկերներին, տեղադրել փաստաթղթերը և NPM սկրիպտը, որը հարմար միջոց է ծրագրի համար ընդհանուր shell հրամանները միավորելու համար:

Մշակողներին խաբելու և կարևոր տվյալներ մուտք գործելու համար հարձակվողը նախ ստեղծում է կեղծ պահեստ (պահեստը պարունակում է նախագծի բոլոր ֆայլերը և յուրաքանչյուր ֆայլի վերանայման պատմությունը) և օրինական նախագծերի կլոններ է մղում GitHub: Օրինակ, հետևյալ երկու ակնթարթները ցույց են տալիս այս օրինական կրիպտո հանքագործական նախագիծը և դրա կլոնը:

*Կրիպտո մայնինգի օրիգինալ նախագիծ. Աղբյուր՝ Github*

*Կլոնավորված կրիպտո մայնինգ նախագիծ. Աղբյուր՝ Github*

Այս կլոնային պահոցներից շատերը դրվել են որպես «ձգման հարցումներ», ինչը ծրագրավորողներին թույլ է տալիս ուրիշներին պատմել փոփոխությունների մասին, որոնք նրանք հրել են դեպի մասնաճյուղ GitHub-ի պահեստում:

Երբ մշակողը դառնում է չարամիտ հարձակման զոհը, սցենարի, հավելվածի կամ նոութբուքի ողջ շրջակա միջավայրի փոփոխականը (ENV) ուղարկվում է հարձակվողի սերվեր: ENV-ն ներառում է անվտանգության բանալիներ, Amazon Web Services մուտքի բանալիներ, կրիպտո բանալիներ և շատ ավելին:

Մշակողը խնդրի մասին զեկուցել է GitHub-ին և ծրագրավորողներին խորհուրդ է տվել ստորագրել իրենց վերանայումները պահոցում: GPG ստեղները անվտանգության լրացուցիչ շերտ են ավելացնում GitHub-ի հաշիվներին և ծրագրային նախագծերին՝ ապահովելով բոլոր վերանայումները վստահելի աղբյուրից ստուգելու միջոց: