Github遭大规模恶意软件攻击超3.5万个代码库受影响

2022-08-03 14:42:01

8月3日消息,软件工程师 Stephen Lacy 在社交媒体上发布,其发现 Github 正在遭受大规模恶意软件攻击,超 3.5 万个代码库受影响,波及范围涵盖 Crypto、Golang、Pyhon、js、bash、Docker 和 k8s 等领域。该恶意软件被发现添加到 npm 脚本、Docker 图像和安装文档中。Stephen Lacy 提醒,此攻击可能会将被攻击者的多种密钥泄露给攻击者,并建议用户使用 GPG 签署所有提交。
211COIN发布此信息目的在于传播更多信息,与本网站立场无关,文章内容仅供参考,不代表任何确定性判断,且不构成投资建议,请谨慎对待,风险自担。
相关快讯
22:09
Solana已将Move语言代码添加到Github存储库
金色财经消息,Solana已将Move语言代码添加到Github存储库,用于提供LLVM IR 支持。据悉,Meta几家初创公司正在使用Move来构建新的区块链。
15:31
安全团队:某流行企业财务软件0day漏洞大规模勒索恶意地址分析
据慢雾区情报,8月29日,某流行企业财务软件面积中勒索病毒,该病毒会向受害者索要 0.2 BTC(约人民币 2.8 万)的赎金,勒索地址为 bc1q22xcf2667tjq9ug0fgsmxmfm2kmz32lwtn4m7v。 慢雾 MistTrack 对勒索地址进行分析发现: 1/截止目前,共有 2 个用户支付了赎金 0.2 BTC 和 0.1 BTC,分别从 Binance 和 Gate.io 提款支付赎金。 2/收到勒索资金后,黑客当天就开始转移资金,其中 0.2 BTC 被转移,其中部分资金转移到 Binance、恶意地址 3CCV3 和疑似恶意地址 37jAA;截止目前,约剩余 0.2 BTC 还分散在不同的地址,没有进一步转移。 3/通过情报关联我们发现,恶意地址 3CCV3 同样接收了来自 Glupteba 僵尸网络恶意地址 bc1qhj 的资金;根据 bitcoinwhoswho 报告,恶意地址 3CCV3 为项目名为 BTC Global 的庞氏骗局地址;疑似恶意地址 37jAA 同样与用户被钓鱼事件有关。
10:04
YogaPetz的Discord遭黑客攻击团队将补偿受影响的用户
金色财经报道,据NFT项目YogaPetz在其团队Discord上发布的声明,昨天其Discord社区遭到黑客攻击,主持人账户被窃并发布了虚假的PRANA代币申领骗局链接,YogaPetz团队表示目前正在努力补偿那些受影响的用户。此外,YugaPetz还提醒用户安装Pocket Universe 插件,该插件可以在进行交易之前警告可能具有破坏性的交易,适用于质押、交换、投票和所有需要签名的交易。
17:37
在线游戏Neopets遭攻击且游戏网站源代码和数据库正以4枚比特币的价格出售
金色财经消息,近期推出NFT的在线游戏Neopets遭到黑客攻击。此次攻击可能影响了多达6900万个账户,目前一个名为TarTarX的黑客正以4枚比特币的价格出售Neopets.com网站的源代码和数据库。(TheBlock)
15:14
安全团队:DFX Finance存在严重漏洞遭攻击攻击者获利逾23万美元
11月11日消息,据慢雾安全团队情报,2022 年 11 月 11 日,ETH 链上的 DFX Finance 项目遭到攻击,攻击者获利约 231,138 美元。慢雾安全团队以简讯形式分享如下: 1. 攻击者首先调用了名为 Curve 的合约中的 viewDeposit 函数来查看合约中的存款情况,之后根据返回的存款情况来构造合适的闪电贷需要借出的钱 2. 紧接着继续 Curve 合约的 flash 函数进行闪电贷,因为该函数未做重入锁保护,导致攻击者利用闪电贷中的 flashCallback 函数回调了合约的 deposit 函数进行存款 3. 存款函数外部调用了 ProportionalLiquidity 合约的 proportionalDeposit 函数,在该函数中会将第二步中借来的资金转移回 Curve 合约里,并且为攻击合约进行存款的记账,并且为攻击合约铸造存款凭证 4. 由于利用重入了存款函数来将资金转移回 Curve 合约中,使得成功通过了闪电贷还款的余额检查 5. 最后调用 withdraw 函数进行取款,取款时会根据第三步存款时对攻击合约记账燃烧掉存款凭证,并以此成功取出约 2,283,092,402 枚的 XIDR 代币和 99,866 枚 USDC 代币获利 此次攻击的主要原因在于 Curve 合约闪电贷函数并未做重入保护,导致攻击重入了存款函数进行转账代币来通过闪电贷还款的余额判断,由于存款时有记账所以攻击者可以成功提款获利。
09:38
Optimism生态NFT市场Quix宣布代码库开源
金色财经报道,Optimism生态NFT市场Quix在社交媒体宣布代码库开源,涉及NFT交易平台、NFT索引器和Launchpad的前端和后端代码,现在任何开发者都可以进行部署和拓展。Quix于去年11月称每月基础设施成本已超过收入因此计划在2023年2月终止运营,并结束了交易激励机制,Quix将与Optimism基金会合作,以确保平稳过渡,其团队致力于维持运营到2023年2月28日。
Copyright © 2018-2022 211COIN版权所有.