הויפּט דעוועלאָפּער פּלאַטפאָרמע GitHub פייסט אַ וויידספּרעד מאַלוואַרע באַפאַלן און געמאלדן 35,000 "קאָד היץ" אויף אַ טאָג וואָס געזען טויזנטער פון סאָלאַנאַ-באזירט וואָלאַץ ויסגעשעפּט פֿאַר מיליאַנז פון דאָללאַרס.
די וויידספּרעד באַפאַלן איז כיילייטיד דורך GitHub דעוועלאָפּער Stephen Lucy, וואָס ערשטער געמאלדן דעם אינצידענט פריער אויף מיטוואך. דער דעוועלאָפּער האָט געפֿונען דעם אַרויסגעבן בשעת ריוויוינג אַ פּרויעקט ער געפֿונען אויף אַ Google זוכן.
איך בין אַנקאַווערד וואָס מיינט צו זיין אַ מאַסיוו וויידספּרעד מאַלוואַרע באַפאַלן @ גיטהוב.
- דערווייַל איבער 35 ק ריפּאַזאַטאָריז זענען ינפעקטאַד
- ביז איצט געפֿונען אין פּראַדזשעקס אַרייַנגערעכנט: קריפּטאָ, גאָלאַנג, פּיטהאָן, דזשס, באַש, דאָקקער, ק8ס
- עס איז מוסיף צו npm סקריפּס, דאָקקער בילדער און ינסטאַלירן דאָקומענטן pic.twitter.com/rq3CBDw3r9- סטיווען לייסי (@stephenlacy) אויגוסט קסנומקס, קסנומקס
ביז איצט, פאַרשידן פּראַדזשעקס - פֿון קריפּטאָ, גאָלאַנג, פּיטהאָן, דזשאַוואַסקריפּט, באַש, דאָקער און קובערנעטעס - האָבן שוין געפֿונען אַפעקטאַד דורך די באַפאַלן. די מאַלוואַרע באַפאַלן איז טאַרגעטעד צו די דאַקער בילדער, ינסטאַלירן דאָקומענטן און NPM שריפט, וואָס איז אַ באַקוועם וועג צו פּעקל פּראָסט שאָל קאַמאַנדז פֿאַר אַ פּרויעקט.
צו דופּן דעוועלאָפּערס און אַקסעס קריטיש דאַטן, דער אַטאַקער ערשטער קריייץ אַ שווינדל ריפּאַזאַטאָרי (אַ ריפּאַזאַטאָרי כּולל אַלע די טעקעס פון די פּרויעקט און די רעוויזיע געשיכטע פון יעדער טעקע) און פּושיז קלאָונז פון לעגיט פּראַדזשעקס צו GitHub. פֿאַר בייַשפּיל, די פאלגענדע צוויי סנאַפּשאַץ ווייַזן דעם לעגיט קריפּטאָ מיינער פּרויעקט און זייַן קלאָון.
פילע פון די קלאָון ריפּאַזאַטאָריז זענען פּושט ווי "ציען ריקוועס," וואָס לאָזן דעוועלאָפּערס דערציילן אנדערע וועגן ענדערונגען וואָס זיי האָבן פּושט צו אַ צווייַג אין אַ ריפּאַזאַטאָרי אויף GitHub.
פֿאַרבונדענע: נאָמאַד ריפּאָרטאַדלי איגנאָרירט זיכערהייט וואַלנעראַביליטי וואָס געפֿירט צו $ 190 מיליאָן
אַמאָל די דעוועלאָפּער פאלן רויב צו די מאַלוואַרע באַפאַלן, די גאנצע סוויווע בייַטעוודיק (ENV) פון די שריפט, אַפּלאַקיישאַן אָדער לאַפּטאַפּ (עלעקטראָן אַפּפּס) איז געשיקט צו די אַטאַקער ס סערווער. די ENV כולל זיכערהייט שליסלען, אַמאַזאָן וועב באַדינונגס אַקסעס שליסלען, קריפּטאָ שליסלען און פיל מער.
דער דעוועלאָפּער האָט געמאלדן דעם אַרויסגעבן צו GitHub און אַדווייזד דעוועלאָפּערס צו GPG צייכן זייער ריוויזשאַנז געמאכט צו די ריפּאַזאַטאָרי. GPG קיז לייגן אַן עקסטרע שיכטע פון זיכערהייט צו GitHub אַקאַונץ און ווייכווארג פּראַדזשעקס דורך פּראַוויידינג אַ וועג צו באַשטעטיקן אַז אַלע ריוויזשאַנז קומען פֿון אַ טראַסטיד מקור.
מקור: https://cointelegraph.com/news/github-faces-widespread-malware-attacks-affecting-projects-including-crypto