GitHub нь төслүүд, тэр дундаа криптод нөлөөлөх хортой програм хангамжийн халдлагатай тулгардаг

Хөгжүүлэгчийн томоохон платформ GitHub нь хортой программ хангамжийн халдлагад өртөж, нэг өдрийн дотор 35,000 "код дарагдсан" гэж мэдээлснээр Солана-д суурилсан олон мянган түрийвч сая сая доллараар урссан байна.

Өргөн хүрээтэй халдлагыг GitHub-ийн хөгжүүлэгч Стивен Люси онцолж, лхагва гарагт болсон явдлын талаар анх мэдээлэв. Хөгжүүлэгч Google-ийн хайлтаас олсон төслөө шалгаж байхдаа асуудалтай тулгарсан.

Би асар их хэмжээний хортой програмын халдлагыг илрүүлж байна @github.
– Одоогоор 35 мянга гаруй хадгалах газар халдвар авсан байна
– Одоогийн байдлаар крипто, голанг, питон, js, bash, докер, k8s зэрэг төслүүдээс олдсон.
– Энэ нь npm скрипт, докерын зураг, суулгах баримт бичигт нэмэгдсэн pic.twitter.com/rq3CBDw3r9
- Стивен Лэйси (@stephenlacy) Наймдугаар сарын 3, 2022

Одоогийн байдлаар крипто, Голанг, Python, JavaScript, Bash, Docker, Kubernetes зэрэг янз бүрийн төслүүд халдлагад өртсөн нь тогтоогдсон. Хортой программ хангамжийн халдлага нь докерын зураг, суулгах баримт бичиг, NPM скрипт рүү чиглэгддэг бөгөөд энэ нь төслийн нийтлэг бүрхүүлийн командуудыг багцлахад тохиромжтой арга юм.

Хөгжүүлэгчдийг хууран мэхлэх, чухал өгөгдөлд хандахын тулд халдагчид эхлээд хуурамч репозитор үүсгэн (репозитор нь төслийн бүх файлууд болон файл бүрийн засварын түүхийг агуулдаг) хууль ёсны төслүүдийн клонуудыг GitHub руу түлхэж өгдөг. Жишээлбэл, дараах хоёр хормын хувилбар нь энэхүү хууль ёсны крипто олборлогч төсөл болон түүний клоныг харуулж байна.

*Жинхэнэ крипто олборлох төсөл. Эх сурвалж: Github*

*Клон крипто олборлох төсөл. Эх сурвалж: Github*

Эдгээр клон хадгалах сангуудын ихэнх нь "татах хүсэлт" хэлбэрээр түлхэгдсэн бөгөөд энэ нь хөгжүүлэгчдэд GitHub дээрх репозиторын салбар руу шилжүүлсэн өөрчлөлтийн талаар бусдад хэлэх боломжийг олгодог.

Холбогдох: Nomad нь 190 сая долларын ашиг олоход хүргэсэн аюулгүй байдлын эмзэг байдлыг үл тоомсорлосон гэж мэдэгджээ

Хөгжүүлэгч хортой програмын халдлагад өртөх үед скрипт, програм эсвэл зөөврийн компьютерын орчны хувьсагч (ENV) бүхэлдээ халдагчийн сервер рүү илгээгдэнэ. ENV нь аюулгүй байдлын түлхүүрүүд, Amazon Web Services хандалтын түлхүүрүүд, крипто түлхүүрүүд болон бусад олон зүйлийг агуулдаг.

Хөгжүүлэгч энэ асуудлыг GitHub-д мэдээлсэн бөгөөд хөгжүүлэгчид репозитор дээр хийсэн засварууддаа GPG гарын үсэг зурахыг зөвлөсөн. GPG түлхүүрүүд нь итгэмжлэгдсэн эх сурвалжаас ирсэн бүх засварыг баталгаажуулах замаар GitHub бүртгэл болон програм хангамжийн төслүүдэд аюулгүй байдлын нэмэлт давхаргыг нэмж өгдөг.