日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
Github突遭大規(guī)模惡意攻擊,大量加密密鑰可能泄露!

Github又被人惡意攻擊了?還是涉及35000資源庫(kù)的大規(guī)模攻擊? 這個(gè)消息不是官方消息,是推特用戶@Stephen Lacy在推特上發(fā)出來的。

創(chuàng)新互聯(lián)公司是一家專注于網(wǎng)站建設(shè)、成都做網(wǎng)站與策劃設(shè)計(jì),電白網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)公司做網(wǎng)站,專注于網(wǎng)站建設(shè)十余年,網(wǎng)設(shè)計(jì)領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:電白等地區(qū)。電白做網(wǎng)站價(jià)格咨詢:13518219792

個(gè)人資料顯示,Stephen Lacy是一位軟件工程師,從事領(lǐng)域?yàn)槊艽a學(xué)和開源,還是一位游戲開發(fā)者,開發(fā)了一款名為「PlayGodfall」的游戲。

他聲稱,自己發(fā)現(xiàn)了Github上的廣泛的大規(guī)模惡意攻擊行為。目前已有超過35000個(gè)資源庫(kù)受到感染。 (不久后他作出更正,受感染的為35000+「代碼段」,而不是資源庫(kù)) Lacy表示,目前,包括crypto, golang, python, js, bash, docker, k8s在內(nèi)的著名資源庫(kù)均受到影響,波及范圍包括NPM腳本、Docker圖像和安裝文件等。

他表示,目前看上去這些惡意的commit看上去人畜無害,起的名字看起來像是例行的版本更新。

而從資源庫(kù)歷史變動(dòng)記錄看,有些commit來自于原庫(kù)主,有些則顯示用戶不存在,還有一些屬于歸檔資源庫(kù)。 至于攻擊的方式,攻擊者會(huì)將庫(kù)中的多種加密信息上傳到自己的服務(wù)器上,包括安全密鑰、AWS訪問密鑰、加密密鑰等。

上傳后,攻擊者就可以在你的服務(wù)器上運(yùn)行任意代碼。 聽上去很可怕,有沒有? 而除了竊取加密信息外,攻擊者還會(huì)構(gòu)建假的資源庫(kù)鏈接,并以合法的資源庫(kù)形式向Github提交clone,從而甩鍋給資源庫(kù)的原作者。

Lacy表示,這些漏洞和攻擊是他瀏覽一個(gè)通過谷歌搜索找到的project時(shí)發(fā)現(xiàn)的,所以首先要注意的是,不要隨便安裝網(wǎng)上搜到的什么奇奇怪怪的package。 另外,要防止中招的最好方法是,使用GPG加密簽名。 目前,Lacy表示,已經(jīng)向Github報(bào)告了他發(fā)現(xiàn)的情況,目前暫時(shí)還未見Github官方作出回應(yīng)。

最新消息是,據(jù)BleepingComputer報(bào)道, Github在收到惡意事件報(bào)告后,已經(jīng)清除了大部分包含惡意內(nèi)容的資源庫(kù)。 按照這個(gè)網(wǎng)站的說法 ,實(shí)際上,35000個(gè)原始資源庫(kù)并未「被劫持」 ,而是在clone中被添加了惡意內(nèi)容。

數(shù)以千計(jì)的后門被添加到了正常合法項(xiàng)目的副本里(fork或clone),以達(dá)到推送惡意軟件的目的。


本文名稱:Github突遭大規(guī)模惡意攻擊,大量加密密鑰可能泄露!
文章出自:http://www.5511xx.com/article/djidoig.html