GitHub 已确认其数千个内部存储库在未经授权的情况下被访问,这促使币安创始人赵长鹏“CZ”赵发出新的警告,要求加密货币开发人员立即轮换存储在代码存储库中的 API 密钥。
- GitHub 证实,在员工设备遭到入侵后,近 3,800 个内部存储库遭到未经授权的访问。
- 币安创始人赵长鹏敦促开发者轮换存储在私有和公共代码存储库中的 API 密钥。
- 在 Grafana Labs 披露针对其代码库的另一起与 GitHub 相关的供应链攻击几天后,该漏洞浮出水面。
根据 GitHub 周三发布的声明,微软旗下的平台表示,它检测到与员工设备遭到入侵有关的未经授权的访问,并已针对该事件启动了内部调查。
该公司补充说,目前“没有证据表明存储在 GitHub 内部存储库之外的客户信息受到影响。”
GitHub 发布的更多详细信息显示,此次泄露涉及周二发现的有毒 Visual Studio Code 扩展。该公司表示在受影响的端点被隔离并启动事件响应程序后,恶意扩展程序已被删除。
虽然 GitHub 坚称客户存储库和企业环境没有受到影响,但该公司承认大约 3,800 个内部存储库受到影响,这一数字与名为 TeamPCP 的黑客组织后来提出的说法非常吻合。
《安全周刊》将 TeamPCP 描述为一个高度自动化的网络犯罪组织,专注于破坏开发人员工具以获取凭证并产生经济利益。网上流传的报道表明,该组织试图出售其声称的与 GitHub 内部系统相连的“4,000 个私人代码库”。
在此背景下,CZ 敦促开发人员检查存储库中是否存在暴露的凭据,并警告说,即使存储在私有代码库中的 API 密钥也应立即更换。
加密货币开发人员严重依赖 GitHub 基础设施来管理开源项目、交易机器人、区块链应用程序和去中心化金融工具。存储库通常包含交换 API 凭据、云基础设施令牌、钱包访问配置和部署脚本,使此类环境成为攻击者的有吸引力的目标。
GitHub 表示,它已经轮换了所谓的“关键机密”,优先考虑操作风险最高的凭证。该公司补充说,调查仍在进行中,团队正在继续分析日志并监控后续活动,然后发布完整的事件报告。
加密行业面临新的存储库安全问题
在行业其他地方,可观测性公司 Grafana Labs 披露了一起涉及未经授权访问其 GitHub 存储库的单独供应链攻击几天后,GitHub 漏洞就浮出水面。 Grafana 表示,攻击者下载了其部分代码库,随后提出了与可能的数据泄露相关的赎金要求。
最新的进展也重新引发了人们对针对加密用户和开发人员的基于存储库的攻击的担忧。早在 3 月份,安全平台 OX Security 就详细介绍了一场与 OpenClaw 日益流行相关的网络钓鱼活动,OpenClaw 是一个开源 AI 代理项目,后来得到了 OpenAI 高管 Sam Altman 的支持。
根据 OX Security 的说法,攻击者创建了虚假的 GitHub 帐户,并使用问题线程来诱骗开发人员,承诺提供与不存在的 $CLAW 代币奖励活动相关的虚假代币分配。然后,受害者被重定向到旨在通过恶意钱包连接提示耗尽加密钱包的欺诈网站。
研究人员表示,该活动使用混淆的 JavaScript 文件和浏览器跟踪命令来监视用户活动,同时通过内置删除功能隐藏痕迹。 OX Security 随后敦促用户阻止与该操作相关的域名,并避免将钱包链接到新出现的网站。
对于币安来说,对 GitHub 托管秘密的担忧也不是什么新鲜事。 2024 年 2 月,调查机构 404 Media报道称,币安相关代码和基础设施数据的缓存已在 GitHub 上公开访问数月。
该报告声称,暴露的材料包括内部图表、与身份验证相关的代码以及与标记为“prod”的系统相关的密码,可能指的是生产基础设施。
当时,币安承认了此次泄露,但表示该信息对用户和平台安全仅构成“可忽略不计的风险”,同时还表示暴露的代码不再与其生产环境相匹配。