有開發人員昨午( 8 月 3 日)在 Twitter 指出在 GitHub 大量程式庫中被人加入惡意程式碼,數量超過 35,000 條,懷疑是被惡意軟件攻擊,受害程式庫包括加密貨幣、 GoLang 、 Python 、 Javascript 等的。雖然 GitHub 未有發表聲明,但被發現的惡意程式在昨晚 11 時左右已幾乎被全部移除。
開發員 Stephen Lacy 昨日下午 1 時左右在 Twitter 發推文,指在 GitHub 多個程式庫中發現大量惡意程式攻擊,驗出惡意程式碼超過 35,000 條,當中包括加密貨幣、 GoLang 、 Python 、 JavaScript 、 Bash 、 Docker 和 Kubernetes 等第三方程式庫。惡意分子拷貝有關的程式庫,然後在 Node.js 的模組管理工具 npm 的腳本碼、 Docker 容器的影像檔及安裝文件中插入惡意程式碼。
Stephen 表示惡意分子嘗試向正式程式庫發出 Pull Request ,將修改過的程式合併 (Merge) 入正式程式庫中。從 Stephen 貼出的截圖可以看到,惡意程式碼指向一個俄羅斯頂級域 .ru 的網址(註冊者和伺服器不一定位於俄羅斯),並指會將腳本、程式和筆記簿資料,包括保安密鑰、 AWS 存取密鑰等,傳送到攻擊者的伺服器。
在這推文發出之後不久,全球用戶迅即作出反應,雖然 GitHub 未有正式公布,不過到下午 4 時左右,被發現的惡意程式碼已經減少至 300 份以下,到晚上 11 時許, Stephen 亦發推文指有關的惡意程式已幾乎被全部移除。
去年開源日誌框架 Log4J 漏洞,導致大量伺服器有被入侵的風險,事件令到業界關注軟件供應鏈的安全性問題,美國政府更為此與業界舉行會議,防止出現同類事故。