随着流行的代码共享平台GitHub面临大规模攻击，数百万开发者和用户处于戒备状态。Apiro的安全研究人员发现了一个令人担忧的趋势，即恶意行为者以GitHub存储库为目标，可能会危及超过10万个项目。

该攻击涉及一种名为“恶意存储库混淆”的技术，攻击者克隆合法存储库，注入有害代码，然后将其重新上传到平台。然后，这些被篡改的存储库可以被毫无戒心的用户下载，这可能会损害他们的系统或感染恶意软件。

Apiro的报告强调了使GitHub容易受到此类攻击的几个因素。该平台的易用性、易用的API以及大量隐藏的存储库为攻击者发起“水坑攻击”创造了理想的环境

在这些攻击中，攻击者以流行和频繁下载的存储库为目标。他们将恶意代码注入这些存储库，然后重新上传。为了进一步扩大他们的影响力，攻击者使用自动化方法创建了许多被破坏的存储库的假分叉。然后，这些假叉子可以通过社交媒体、在线论坛和其他渠道传播，诱骗用户下载恶意版本。

该报告承认，GitHub已收到通知，并已删除了大部分已识别的恶意存储库。然而，该活动仍在继续，攻击者不断试图注入有害代码。这场持续的斗争就像一场打地鼠游戏，GitHub在游戏中迎头赶上，在恶意代码上传后删除恶意代码，这可能会让用户面临风险。

报告进一步透露，这场袭击活动始于2023年5月，并一直在稳步增长。这种持续的活动引发了人们的担忧，即未来可能会有更多的存储库和用户受到威胁。建议开发人员和用户在从GitHub下载代码时要谨慎，尤其是从不熟悉的存储库下载代码。在将代码集成到项目中之前，验证代码的来源和合法性至关重要。

免责声明：市场有风险，选择需谨慎！此文仅供参考，不作买卖依据。