2.3 万个 GitHub 代码库沦为供应链攻击重灾区

图片

本周，一场大规模安全漏洞曝光，约 2.3 万个 GitHub 代码库不幸遭到入侵。安全专家表示，这堪称迄今为止最为严重的供应链攻击事件之一。

攻击者巧妙利用软件开发流程中的漏洞，极有可能将恶意代码扩散至数千个下游应用程序及服务。

GitHub 作为全球知名的代码托管平台，托管着超 2 亿个代码库，为全球超 1 亿开发者所使用。在多个热门开源项目报告其代码库出现未经授权的提交后，GitHub 证实了此次攻击事件。

这些受攻击的代码库作为数百万个应用程序的依赖项，大大加剧了此次安全事件可能造成的影响范围和危害程度。

StepSecurity 的研究人员在留意到多个不相关代码库中存在可疑的提交活动后，成功发现了攻击模式。

此次攻击主要瞄准那些下载量高，以及在企业应用程序中作为依赖项的代码库，这显然是一种经过精心策划的策略，旨在最大化攻击效果。

技术分析表明，攻击者采用了一种极为复杂的手段，通过网络钓鱼攻击与利用令牌泄露相结合的方式，攻陷了代码库维护者的账户。

在获取访问权限后，他们悄然注入恶意代码片段，这些片段在常规代码审查过程中极难被察觉。注入的代码通常包含类似下面这样经过混淆处理的恶意负载：

图片

图片

应对措施

建议项目维护者仔细审查近期的提交记录，特别是那些对包配置文件或依赖项声明进行过修改的提交。GitHub 已暂时限制了对受影响代码库的访问，同时与维护者紧密合作，撤销恶意更改并实施额外的安全防护措施。

安全专家提醒用户，务必立即检查自身使用的依赖项，并及时更新至经过验证的版本。各组织机构也应全面审查自身的软件供应链安全策略，引入自动扫描工具，以便在潜在风险危及生产系统之前就将其检测出来。

图片

此次攻击表明保护软件供应链的重要性日益增加，因为单个受到攻击的依赖包可能会影响数千个下游应用程序，并暴露众多组织中的敏感数据。