根據(jù)最新的報(bào)道，微軟的GitHub平臺(tái)遭遇了一場(chǎng)大規(guī)模的網(wǎng)絡(luò)攻擊。這次攻擊被稱(chēng)為“惡意存儲(chǔ)庫(kù)混淆”，據(jù)安全研究團(tuán)隊(duì)Apiiro估計(jì)，有超過(guò)10萬(wàn)個(gè)GitHub存儲(chǔ)庫(kù)受到了影響。

這種攻擊的方式是先克隆一個(gè)安全且干凈的存儲(chǔ)庫(kù)，然后添加惡意的、模糊的代碼后再重新上傳。攻擊者在GitHub等類(lèi)似平臺(tái)上利用API和易于繞過(guò)的軟速率限制，以及大量隱藏的存儲(chǔ)庫(kù)，使其成為秘密感染軟件供應(yīng)鏈的完美目標(biāo)。

GitHub存儲(chǔ)庫(kù)是GitHub用戶(hù)可以上傳代碼的地方，其中一些非常受歡迎的存儲(chǔ)庫(kù)，經(jīng)常被很多人搜索和下載。在這種水坑攻擊（Watering Hole Attack）中，攻擊者下載流行的存儲(chǔ)庫(kù)，添加惡意代碼后重新上傳到GitHub。一旦攻擊者重新上傳了惡意存儲(chǔ)庫(kù)，他們就會(huì)使用自動(dòng)化技術(shù)對(duì)存儲(chǔ)庫(kù)進(jìn)行數(shù)千次fork分叉，并通過(guò)社交媒體、Discord和其他方式向目標(biāo)受眾傳播假版本的存儲(chǔ)庫(kù)。

據(jù)報(bào)道，這種攻擊自2023年5月開(kāi)始，呈指數(shù)級(jí)增長(zhǎng)。GitHub在代碼上傳后嘗試檢測(cè)代碼，但可能為時(shí)已晚。隨著這些攻擊的繼續(xù)，越來(lái)越多的用戶(hù)可能會(huì)被感染。

盡管GitHub已經(jīng)收到了通知，并且大部分惡意代碼庫(kù)已經(jīng)被刪除，但是該活動(dòng)仍在繼續(xù)，試圖注入惡意代碼的攻擊正變得越來(lái)越普遍。因此，對(duì)于GitHub的用戶(hù)來(lái)說(shuō)，需要保持警惕，及時(shí)檢查自己的存儲(chǔ)庫(kù)是否被篡改，同時(shí)也要注意不要下載和使用來(lái)源不明的代碼。