号外号外！大家一定来看看！GitHub 骗局诱骗开发人员下载恶意软件

Checkmarx在与 The Hacker News 分享的一份报告中表示，开源软件供应链的最新攻击是在 Microsoft Visual Code 项目文件中隐藏恶意代码，这些代码会从远程 URL 下载下一阶段的负载。

安全研究员 Yehuda Gelb 表示：“攻击者使用流行的名称和主题创建恶意存储库，使用自动更新和假星等技术来提高搜索排名并欺骗用户。” 这个想法是操纵 GitHub 中的搜索排名，当用户根据最新更新对结果进行过滤和排序时，将恶意控制的存储库置于顶部，并通过虚假帐户添加虚假明星来提高受欢迎程度，有效地欺骗开发人员下载它们。

“与过去发现攻击者在其仓库中添加数百或数千颗星星的事件相比，在这些情况下，攻击者似乎选择了数量较少的星星，可能是为了避免夸大的数字引起怀疑，”盖尔布说道。值得指出的是， Checkmarx 去年年底的先前研究发现了一个由在线商店和聊天组组成的黑市，这些黑市正在出售 GitHub 星星以人为地提高存储库的受欢迎程度，这种技术被称为星星膨胀。


更重要的是，这些存储库中的大多数都伪装成与流行游戏、作弊和工具相关的合法项目，增加了另一层复杂性，使其更难以将它们与良性代码区分开来。据观察，一些存储库下载了一个加密的 .7z 文件，其中包含名为“feedbackAPI.exe”的可执行文件，该文件已膨胀至 750 MB，可能是为了逃避防病毒扫描，并最终启动与 Keyzetsu Clipper 相似的恶意软件。

这种 Windows 恶意软件于去年初曝光，通常通过 Evernote 等盗版软件传播。它能够通过替换剪贴板中复制的钱包地址来将加密货币交易转移到攻击者拥有的钱包。研究结果强调了开发人员在从开源存储库下载源代码时必须遵循的尽职调查，更不用说仅仅依靠声誉作为评估可信度的指标的危险。

Gelb 表示：“使用恶意 GitHub 存储库来分发恶意软件是一种持续的趋势，对开源生态系统构成了重大威胁。” “通过利用 GitHub 的搜索功能并操纵存储库属性，攻击者可以引诱毫无戒心的用户下载并执行恶意代码。” 与此同时，Phylum 表示，它发现一个名为ylmin的用户向 npm 注册表发布的垃圾邮件（即非恶意）软件包数量有所增加，以策划滥用Tea 协议的“大规模自动化加密货币挖矿活动” 。该公司的研究团队表示：“Tea 协议是一个 web3 平台，其既定目标是补偿开源包维护者，但他们获得的不是现金奖励，而是TEA 代币（一种加密货币）。” “Tea 协议还没有上线。这些用户从‘激励测试网’中获取积分，显然是希望在测试网中拥有更多积分将增加他们获得后续空投的几率。”