พบที่เก็บ GitHub มากกว่า 100,000 แห่งแพร่กระจายแพ็คเกจที่เป็นอันตราย

มีรายงานตรวจพบแคมเปญการแพร่กระจายมัลแวร์ โดยนักวิจัยด้านความปลอดภัยที่ Apiiro ซึ่งมัลแวร์ที่ออกแบบมาเพื่อใช้ประโยชน์จากความสามารถของแพลตฟอร์ม GitHub การโจมตีซึ่งเริ่มต้นในเดือนพฤษภาคม พ.ศ. 2566 ด้วยแพ็คเกจที่เป็นอันตราย "หลายรายการ" ที่อัปโหลดไปยัง พื้นที่เก็บข้อมูลอย่างเป็นทางการของ Python Package Index (PyPI) สามารถส่งผลกระทบต่อที่เก็บ GitHub อย่างน้อย 100,000 แห่งและอีก "สันนิษฐาน" หลายล้านแห่ง

โดยการเกิดขึ้นของการนำมัลแวร์แฝงเข้ามานั้นเป็นการแสดงให้เห็นว่าผู้ไม่ประสงค์ดีสามารถใช้ประโยชน์จากความสามารถของ GitHub ในการจัดการพื้นที่เก็บข้อมูล fork code โดยอัตโนมัติและมีประสิทธิภาพได้อย่างไรApiiro กล่าว อาชญากรไซเบอร์ที่ไม่รู้จักทำการโคลน repos ที่มีอยู่ โดยติดมัลแวร์ด้วยตัวโหลดก่อนที่พวกเขาจะอัพโหลดโค้ดที่ถูกบุกรุกกลับไปยัง GitHub ด้วยชื่อที่เหมือนกัน

GitHub มอบ API และเครื่องมือที่เป็นมิตรกับนักพัฒนาซึ่งสามารถใช้เพื่อสร้างบัญชีและ repos โดยอัตโนมัติ และอาชญากรใช้ประโยชน์จากคุณสมบัตินี้เพื่อแยกแพ็คเกจที่เป็นอันตรายที่อัปโหลดนับพันครั้ง เมื่อนักพัฒนาที่ไม่สงสัยใช้ repo ที่ถูกบุกรุก นักวิจัยของ Apiiro อธิบายว่า พวกเขาช่วยกระจายโค้ดที่เป็นอันตราย ซึ่งส่วนใหญ่เป็นBlackCap-Grabber เวอร์ชัน ดัดแปลง

GitHub ยืนยันว่าตระหนักถึงการมีอยู่ของแคมเปญ และการต่อสู้กับกิจกรรมประเภทนี้พูดง่ายกว่าทำ แพลตฟอร์มดังกล่าวโฮสต์นักพัฒนากว่า 100 ล้านคนที่สร้างในพื้นที่เก็บข้อมูลมากกว่า 420 ล้านแห่ง และมีทีมงานเฉพาะที่ทำงานเพื่อตรวจจับ วิเคราะห์ และลบเนื้อหาและบัญชีที่ละเมิดนโยบายการใช้งานที่ยอมรับได้ของแพลตฟอร์ม