GitHub上出现的恶意仓库与安全威胁

文章重点

一些恶意实体创建了伪造公司名义的GitHub仓库，散布恶意程式。VulnCheck的研究行家发现、报告了一些恐怖分子的行为和策略。这些恶意演员对社交工程下了大功夫，假装成安全研究人员。安全研究人员在下载代码时需要格外警惕，确保代码来源的可靠性。

最近，有不明的恶意实体在GitHub上创建了数个恶意仓库，假装成一个伪造公司的名义，声称提供著名产品如Chrome、Exchange和Discord的漏洞。然而，实际上，这些仓库却是在感染下载这些代码的用户。

来自VulnCheck的最新研究报告显示，他们在5月初发现了一个声称为Signal的GitHub恶意仓库。虽然这个仓库在被报告给GitHub后迅速下架，但他们在整个月内仍然观察到类似事件的发生。

恶意行为背后的实体似乎花了不少心思去建立仓库的背景，假装自己是名为High Sierra Cyber Security的公司中的安全研究员，并创建了一系列的帐户和Twitter个人资料。他们甚至使用了来自知名安全公司的真实安全研究员的照片。

VulnCheck的研究人员表示，这些攻击者为了传递恶意软体，投入了大量的精力去创建这些虚假的身份。虽然尚不清楚他们是否成功，但考虑到过去一个月的坚持努力，研究人员认为，这些威胁行为者可能相信他们最终会取得成功。

目前尚不清楚这些行为是否由单一的个体执行，还是像2021年1月由Google TAG揭露的某个持续针对信息安全社群的北韩行动那样具有更高的组织性。

clash for ios

“不论如何，安全研究人员应明白，他们对于恶意行为者来说是一个有价值的目标，在从GitHub下载代码时要格外小心。”

Vulcan Cyber的高级技术工程师Mike Parkin指出，这些恶意行为者已经意识到可以污染代码仓库，让毫无提防的开发人员代为工作。他表示，这个威胁演员在社交工程方面投入了大量精力，让仓库的“拥有者”看起来合法，却发布了容易识别的恶意软体，从而降低了其有效性。

“虽然不太可能，但在某些层面上，看起来几乎像是一个研究项目的一部分，”Parkin说。但这个情况突显了公共仓库的一个明显问题：一定要始终仔细审核你下载的代码，无论在什么情况下都不例外。

Zimperium的安全架构师Georgia Weidman补充道，不幸的是，这种声称是漏洞但实际上却攻击下载设备的行为，与安全漏洞本身一样古老。

“这类未知的漏洞，特别是当源代码不可用进行审查时，应仅下载并在设置为恶意软体分析的隔离虚拟机或系统中运行，”Weidman说。新进的研究人员在学习过程中应考虑与经过安全社区验证的漏洞利用项目一起进行，例如Metasploit。