Coinbase近期遭遇了一起严重的GitHub Actions供应链攻击。此次事件中,恶意行为者成功入侵了名为reviewdog/action-setup@v1的GitHub Action,并通过该操作窃取了包括个人访问令牌在内的机密信息。值得注意的是,tj-actions/eslint-changed-files这一仓库调用了受感染的reviewdog操作,使得攻击者得以进一步将恶意提交推送到另一个GitHub Action tj-actions/changed-files中。
此次攻击特别针对Coinbase及其名为“mmvojwip”的关联账户展开。目前已有超过20,000个项目受到影响,其中便包括Coinbase广为使用的coinbase/agent套件。然而,Coinbase官方随后表示,尽管恶意行为者成功入侵了其GitHub Actions环境,但并未对任何资产造成实际影响。
此次事件揭示了开源工具供应链中存在的潜在风险,也提醒开发者和组织需更加谨慎地管理第三方依赖项的安全性。
短暂公开的GitHub仓库仍可通过Copilot访问
以色列网络安全公司 Lasso 发现,曾经短暂公开的 GitHub 存储库即使设为私有,仍然可通过聊天机器人 Copilot 访问。Lasso 公司提取了2024年任何时间点都是公开的存储库列表,并识别出那些后来被删除或设置为私有的存储库。利用 Bing 的缓存机制,该公司发现超过两万个私有的 GitHub 存储库仍可通过 Copilot 访问数据,影响了超过 16,000 个组织。Lasso 表示,受影响的组织包括亚马逊云计算服务、谷歌、IBM、PayPal、腾讯和微软本身。对于一些受影响的公司,Copilot 可能被触发返回包含知识产权、敏感公司数据、访问密钥和令牌的机密 GitHub 存档。
GitHub 发生大范围服务降级
GitHub 从 UTC 时间1月30日 14:29 开始发生大范围服务降级。用户可能会在各种 GitHub 服务中遇到超时。GitHub 已发现缓存基础设施存在问题,正在努力缓解该问题
—— GitHub Status
研究发现 GitHub 上有310万余个虚假 Stars
研究人员开发并使用了“StarScout”工具来分析来自“GHArchive”的 20TB 数据,以查找虚假的 Stars。GHArchive 包含2019年7月至2024年10月期间超过 60 亿个 GitHub 事件的元数据,其中包括 3.1 亿个存储库上的 6050 万个用户操作和 6.1 亿个 Stars。StarScout 可检测在 GitHub 上活动极少的用户,例如关注单个存储库、具有机器人或临时帐户活动模式的用户,以及协同行动的帐户组。
他们的方法基于 CopyCatch 算法,该算法旨在检测社交网络中的欺诈模式。通过应用低活动和锁步签名算法处理数据以识别存储库中的可疑 Stars 后,研究小组在 22915 个存储库中发现了由 132 万个账户给出了 453 万个疑似虚假 Stars。研究人员通过仅考虑在一个月内 Stars 活动出现显着异常高峰的存储库,以及假 Stars 数量占 Stars 总数的 10% 以上的存储库,过滤掉了潜在的误报。这样一来,结果就减少到 27.8 万个账户向 15,835 个存储库给出的 310 万个假 Stars。
—— BleepingComputer
研究发现 GitHub 上有310万余个虚假 Stars
研究人员开发并使用了“StarScout”工具来分析来自“GHArchive”的 20TB 数据,以查找虚假的 Stars。GHArchive 包含2019年7月至2024年10月期间超过 60 亿个 GitHub 事件的元数据,其中包括 3.1 亿个存储库上的 6050 万个用户操作和 6.1 亿个 Stars。StarScout 可检测在 GitHub 上活动极少的用户,例如关注单个存储库、具有机器人或临时帐户活动模式的用户,以及协同行动的帐户组。
他们的方法基于 CopyCatch 算法,该算法旨在检测社交网络中的欺诈模式。通过应用低活动和锁步签名算法处理数据以识别存储库中的可疑 Stars 后,研究小组在 22915 个存储库中发现了由 132 万个账户给出了 453 万个疑似虚假 Stars。研究人员通过仅考虑在一个月内 Stars 活动出现显着异常高峰的存储库,以及假 Stars 数量占 Stars 总数的 10% 以上的存储库,过滤掉了潜在的误报。这样一来,结果就减少到 27.8 万个账户向 15,835 个存储库给出的 310 万个假 Stars。
—— BleepingComputer
Python 取代 JavaScript 成为 GitHub 上使用最广泛的语言
根据 GitHub 发布的 Octoverse 年度开源软件现状报告,Python 取代 JavaScript 成为 GitHub 上最受欢迎的语言。其中 Jupyter Notebooks 的使用率激增了 92%,这可能表明数据科学、人工智能、机器学习和学术界的开发者越来越多地使用 GitHub。此外,Typescript 也取代 Java 成为第三流行的开发语言。Python 和 Typescript 的使用率都以远远高于其他语言的增速保持高速增长。
此外,印度是以28%的增速成为增长最快的开发者社区,当前已有1700万开发者,预计将于2028年取代美国成为全球最大开发者社区。2024 年,GitHub 上生成式 AI 项目的贡献数量激增 59%,项目总数增加 98%,进一步延续了2023的热潮。
—— GitHub
开源下载器开发者被跨省,因被用于诈骗
开源下载工具 Aria 的开发者清空 Github 代码库。该开发者称“因Aria被诈骗份子使用,导致我被跨省,因此本项目源码永久删除。”
Aria是一个文件下载管理开源项目,截至目前,该项目有5.5k个Star。
图见: AriaLyy commit
亚马逊为绕过限制爬取数据进行人工智能训练要求员工注册 GitHub 账号
在上个月与员工分享的内部备忘录中,亚马逊公司的通用人工智能小组 (AGI) 表示,他们需要来自 GitHub 的“定量和定性元数据”用于人工智能训练。为了解决一个 GitHub 账户每小时只能进行 5000 次数据请求的问题,亚马逊 AGI 团队要求员工创建新的 GitHub 账户并与公司共享。然后,亚马逊可以同时运行所有这些账户,将收集数据的时间缩短到“几周”。备忘录解释道:“使用单个账户抓取所有这些数据将花费许多年。为了加快我们收集元数据的速度,我们要求团队成员创建 GitHub 账户并共享 API 密钥。”
亚马逊公司的领导团队正在鼓励员工帮助该团队收集数据,“只需要花费 5 分钟”。同时,他们表示这一解决方案已经得到亚马逊法务和安全团队的批准,不存在合规问题。当数据在模型中被使用时,亚马逊会注明相似的代码来源和贡献者。
—— 商业内幕
GitHub 移动应用中的 Copilot Chat 现已正式推出
GitHub 5月7日宣布,其用于询问编码相关问题和代码生成的 AI 聊天界面 Copilot Chat 现已在其移动应用中全面推出。这家微软旗下的开发者平台去年11月首次宣布了该功能。
GitHub 产品高级副总裁马里奥·罗德里格斯表示,这款移动应用已经非常受欢迎,可以执行诸如为代码库加星标之类的任务以及 GitHub 提供的一些社交功能。许多开发人员还在使用这款于2019年底推出的应用,在旅途中快速审查小型拉取请求。部分开发人员已经在使用几个月前在移动设备上推出的 Copilot Chat 测试版来询问有关这些拉取请求的其他问题。
—— Techcrunch
代码托管平台 GitHub 评论被指滥用:通过知名存储库 URL 分发恶意软件
在发表评论时,用户可以添加附件,该文件将上传到 GitHub 的 CDN 并使用以下格式的唯一 URL 与相关项目关联:
https://www.github.com/{project_user}/{ repo_name}/files/{file_id}/{file_name}
在将文件添加到未保存的评论后,GitHub 会自动生成下载链接,而不是在发布评论后生成 URL,如上所示。这使得威胁行为者可以在不知情的情况下将他们的恶意软件附加到任何存储库。即使不发布或删除评论,这些文件也不会从 CDN 中删除,且 URL 会持续永久有效。
—— Bleepingcomputer