随着开源软件和公共代码仓库在软件开发中的日益普及,GitHub作为全球最大的代码托管平台,也逐渐成为黑客和恶意攻击者的新目标。最近,网络安全研究团队发现了一起大规模的恶意活动,攻击者通过创建并发布67个伪装成Python黑客工具的GitHub仓库,实际却隐藏了多种木马程序,专门针对游戏玩家和开发者展开攻击。这些仓库假冒著名的账户清理工具、游戏作弊软件以及其他实用工具,诱导用户下载并运行,实则感染信息窃取和远控木马,严重威胁用户的账户安全和系统隐私。 此次被命名为“Banana Squad”的恶意活动,是2023年针对PyPI(Python软件包索引)的类似恶意软件攻击的延续。早在2023年,安全机构就发现有攻击者发布伪装成合法Python软件包的恶意代码库,下载量超过7.5万次,导致Windows系统信息被窃取。此次新发现的GitHub仓库军事规模更大,不仅覆盖了更多种类的后门木马,还利用平台的搜索机制和用户信任进行传播。
据ReversingLabs的研究人员介绍,这些恶意仓库名称与真实且受欢迎的软件极其相似,甚至完全一致,目的是借助用户对热门账号清理工具、游戏作弊软件、TikTok用户名检测器及PayPal批量账户检查器等关键词的搜索,吸引潜在受害者。安全研究机构随后与GitHub官方合作,成功将这些恶意仓库全部下线,削弱了攻击的传播能力。 GitHub作为开源生态系统的重要基石,正在不断面对愈发复杂的安全挑战。除了“Banana Squad”之外,本年度还曝光了多起利用GitHub分发恶意软件的案例。例如由威胁组织“Water Curse”运营的76个恶意仓库,通过多阶段恶意负载窃取用户凭据、浏览器数据和会话令牌,持续获得对受感染系统的远程控制。另一支攻击力量“Stargazers Ghost Network”,则针对Minecraft玩家,传播包含Java木马的恶意代码。
这类攻击通常通过伪装成合法项目、操控仓库的星标、分叉和订阅,有效提升恶意仓库的搜索排名和可信度,极大增加了误伤风险。 更令人担忧的是,这些攻击不仅针对最终用户,同时也瞄准了开发者群体。Sophos引述示例说明,部分知名的开源远程访问木马项目(如Sakura-RAT)中暗藏恶意代码,这些代码会在开发者编译项目时自动注入并感染其本地环境,形成链式扩散。木马利用Visual Studio预编译事件、Python脚本、屏幕保护程序及JavaScript等多种隐藏载体组合,执行数据窃取、截屏、通过Telegram通讯通道下载二进制负载等多种恶意行为。Sophos报告中共检测到超过133个带有后门的恶意仓库,其中111个利用Visual Studio预编译后门,显示出攻击者对开发工具链的深刻理解和操控能力。 这种复杂的分发模式背后,很可能是一个持续运营多年的“分发即服务”(DaaS)犯罪生态。
该生态利用成千上万个GitHub账号发布各色游戏作弊工具、漏洞利用脚本和攻击工具,吸引猎奇和低级黑客群体主动下载恶意软件。在传播渠道方面,除GitHub外,攻击者还借助Discord服务器和YouTube频道推送恶意仓库链接,扩大传播范围,形成多平台联动效应。专家提示,虽然目前受害主要集中在游戏作弊玩家和新手黑客,但未来目标不排除扩展至更广泛的开发者和普通用户群体。 安全研究专家Chet Wisniewski指出,这些仓库与“Water Curse”活动有诸多相似特征,包括仓库命名高度相似、广泛使用GitHub多个账户、针对Electron应用的攻击,以及利用特定电子邮箱地址进行代码提交。这种关联表明攻击者可能共享开发代码库或操作手册,形成统一的攻击集群,显示出攻击手法的专业化和系统化趋势。 面对GitHub日益严峻的恶意软件威胁,开发者和用户必须加强自我防范意识。
首先,使用公开的代码仓库时,应核实仓库拥有者的身份和声誉,避免直接使用未经验证的第三方工具。其次,结合本地安全检测工具扫描下载代码,尤其是包含脚本自动执行或二进制附件的项目,增强威胁检测能力。此外,关注正规安全机构和平台的安全通告,及时了解最新风险动态,对疑似恶意仓库及时上报平台,帮助社区遏制病毒传播。 企业应当将开源供应链安全纳入整体信息安全管理体系,建立针对第三方依赖的安全审核和监控机制。同时,提升员工安全意识培训,防止因轻信网络资源而使企业内部系统遭受入侵。技术团队可以借助代码签名、依赖完整性校验和自动化安全扫描等技术手段,减少恶意代码混入生产环境的风险。
总的来说,GitHub木马仓库事件反映出现代软件开发生态在便利与风险之间的权衡。虽然开源软件促进了技术创新和协作,但丰富的开放资源也为攻击者提供了潜伏和传播的温床。伴随攻击技术不断演进,安全防护必须做到警钟长鸣,将源代码管理平台视为潜在的安全战场,综合运用技术和管理手段才能有效防范恶意攻击,保障用户和开发者的数字资产安全。建立全方位的供应链安全防护体系和社区共治机制,将是未来抵御此类威胁的关键所在。
