在当今数字化时代,开源平台GitHub和GitLab已成为全球数以百万计开发者协作的重要工具。然而,随着其影响力的提升,这两个平台也成为网络犯罪分子的新目标。Positive Technologies发布的最新安全报告显示,通过GitHub和GitLab实施的网络攻击正达到历史新高,威胁着全球范围内的开发者和企业安全。报告显示,黑客利用伪造的项目、恶意代码注入以及一系列复杂的社会工程技术,诱骗用户下载安装带有远程访问后门和间谍功能的恶意软件,从而窃取敏感信息和控制目标设备。GitHub和GitLab上的攻击多以假冒项目为载体,这些项目往往看似合法且极具吸引力,吸引开发者误以为是可信资源。攻击者通过嵌入恶意代码,使恶意负载能够在用户的系统中悄无声息地运行。
受害者不仅包括普通开发者,还涵盖游戏玩家、加密货币投资人等多个群体,尤其是在俄罗斯、巴西和土耳其等地,恶意软件如信息窃取工具(infostealer)频繁窃取加密钱包地址、个人及银行数据。尤其引人注意的是,美国、欧洲及亚洲部分地区爆发的针对开发者的高级持续性威胁(APT),以北朝鲜黑客组织Lazarus为代表的攻击者植入JavaScript后门,用于系统信息收集,显示出针对开源链条的深度渗透和长期监控。这一趋势反映了APT攻击策略的升级,从传统的大规模网络钓鱼转向对链条供应的精准打击,使攻击不仅局限于个别目标,还波及其关联项目,造成更广泛的安全风险。报告强调,供应链攻击已成为当前和未来网络安全的主要威胁,攻击者通过入侵开源软件的发布过程,能够在不引起警觉的情况下感染数以千计的用户和企业系统。特别值得关注的是,攻击者利用"typosquatting"(名称拼写相似欺诈)技术,制作和发布与合法软件包名称接近的恶意版本,诱骗开发者误用错误的依赖包。Python包管理器PyPI中发生的恶意包事件就是典型案例,涉及用于机器学习和深度学习领域的伪装工具包,如deepseeek和deepseekai,这些包能够秘密采集用户数据和系统环境变量。
面临如此严峻的挑战,开发者和企业必须采取系统性的防护措施。首先,加强对依赖项的审核和管理,减少因自动引入不受信任组件而造成的风险。其次,应增强代码审查和自动化检测能力,及时发现异常行为和恶意代码植入。此外,倡导开源社区建立更严格的发布和验证机制,如多因素身份验证、代码签名及使用安全扫描工具。透明公开安全事件,推动社会协同防御也是提升整体防护水平的重要途径。值得一提的是,教育开发者提升安全意识,认识到开源项目的安全隐患和攻击风险,对防范此类攻击至关重要。
只有当整个平台生态中的每个环节都重视安全,才能形成有效的防御网络。Positive Technologies的报告不仅揭示了当前的攻击态势,更提醒我们网络安全工作的复杂性和长期性。未来,攻击者将借助更先进的手段深入渗透供应链安全,各方需要持续加强技术能力和合作机制,从根本上筑牢开源生态的安全防线。总体而言,开源平台作为技术创新和协作的基石,其安全性直接影响到全球数百万开发者和企业的数字资产安全。通过理解和应对GitHub及GitLab上的最新攻击威胁,我们能够更好地保护软件供应链,保障信息安全,推动技术的健康可持续发展。 。
