我发现了 1 万个分发特洛伊木马恶意软件的 GitHub 仓库
恶意软件活动的性质
- 仓库存放看似有用的项目,但通过关联的 ZIP 压缩包或在“releases”中替换的二进制文件分发恶意软件。
- 样本显示会向 IP 信息服务、Polygon RPC 节点以及一个 C2 服务器发起网络活动,暗示其目的是窃取加密货币。
- 一个分析样本与“disco”特洛伊木马家族相符;大多数载荷都以 Windows 为重点。
- 攻击者经常删除并重新推送提交,以便始终排在“最近更新”和搜索结果的前列。
GitHub 的角色与应对
- 举报后的体验不一:有些仓库在 24 小时内被移除;另一些则持续存在数月甚至数年(其中还包括明显的盗版内容)。
- 评论者认为 GitHub 不是一个经过筛选的仓库,更像是一个文件托管站点或带链接的论坛。
- 一些人觉得 GitHub/Microsoft 没有充分利用其资源(包括 AI)进行主动恶意软件检测,可能是出于商业权衡和误报风险。
“开源就是安全”的局限
- 围绕常见观点“开源更安全,因为它可审计”展开了激烈争论。
- 许多人指出:
- 真正阅读代码或验证二进制与源码是否匹配的人很少。
- 星标、受欢迎程度和“众人之眼”制造了一种虚假的安全感,而且很容易被操纵。
- 也有人反驳说,开源从来就不保证干净,只是更可审计;xz 后门被引用为对天真信任的反例。
检测、扫描与工具
- VirusTotal 有时只有在直接上传 ZIP 时才会标记恶意软件,而仅提供链接时不会。
- 有人呼吁 GitHub 级别的发布/二进制扫描,以及基本启发式规则(新账号、同步增长的星标、克隆的恶意软件树)。
- 提到的现有工具包括:Socket、Aikido、Step-Security、Wiz、类似 Semgrep 的扫描;有人希望有更好的、下载前的 GitHub 扫描器。
搜索引擎与钓鱼
- 搜索结果(尤其是非 Google 的)经常把钓鱼或恶意的 GitHub 分支排在合法仓库之上。
- 一些用户报告称,银行和 GitHub 项目的钓鱼页面排名很高;另一些人说这种情况在多个主流搜索引擎上都存在。
账户安全与密码实践
- 一起知名的案例涉及来自 GitHub 插件的恶意软件攻破密码管理器,引发了关于以下问题的争论:
- 将 TOTP/MFA 与密码存放在同一个保险库中。
- 使用硬件密钥(例如 YubiKey)、分离设备,或多个保险库。
- 一些人认为密码管理器默认假设设备没有被攻破;一旦本地运行了恶意软件,许多防御都会失效。
社会工程与伪造技术测试
- 对招聘诈骗的描述:“梦寐以求的工作”邀约,然后给出一个实际上会部署恶意软件的“技术测试”仓库。
- 现在有些开发者只在一次性虚拟机中运行这类测试,并监控外发连接。
对生态系统质量的更广泛担忧
- 有人认为 GitHub 正在滑向“SourceForge 2.0”:垃圾信息、恶意软件、被 SEO 操纵的星标,以及薄弱的执法。
- 一些人认为这是开放生态长期存在的现实;另一些人则将其归咎于大型公司所有权和增长激励。