Mae GitHub yn wynebu ymosodiadau malware eang sy'n effeithio ar brosiectau, gan gynnwys crypto

Roedd platfform datblygwr mawr GitHub yn wynebu ymosodiad malware eang ac adroddodd 35,000 o “drawiadau cod” ar ddiwrnod pan welodd miloedd o waledi yn seiliedig ar Solana yn cael eu draenio am filiynau o ddoleri.

Amlygwyd yr ymosodiad eang gan ddatblygwr GitHub, Stephen Lucy, a adroddodd y digwyddiad gyntaf yn gynharach ddydd Mercher. Daeth y datblygwr ar draws y mater wrth adolygu prosiect y daeth o hyd iddo ar chwiliad Google.

Rwy'n datgelu'r hyn sy'n ymddangos yn ymosodiad malware eang enfawr arno @gitub.
- Ar hyn o bryd mae dros 35k o ystorfeydd wedi'u heintio
- Wedi'i ganfod hyd yn hyn mewn prosiectau gan gynnwys: crypto, golang, python, js, bash, docker, k8s
- Mae'n cael ei ychwanegu at sgriptiau npm, delweddau docwr a gosod dogfennau pic.twitter.com/rq3CBDw3r9
— Stephen Lacy (@stephenlacy) Awst 3, 2022

Hyd yn hyn, canfuwyd bod yr ymosodiad wedi effeithio ar brosiectau amrywiol - o crypto, Golang, Python, JavaScript, Bash, Docker a Kubernetes. Mae'r ymosodiad malware wedi'i dargedu at ddelweddau'r docwr, gosod docs a sgript NPM, sy'n ffordd gyfleus i fwndelu gorchmynion cregyn cyffredin ar gyfer prosiect.

Er mwyn twyllo datblygwyr a chael mynediad at ddata hanfodol, mae'r ymosodwr yn gyntaf yn creu ystorfa ffug (mae ystorfa yn cynnwys holl ffeiliau'r prosiect a hanes adolygu pob ffeil) ac yn gwthio clonau o brosiectau legit i GitHub. Er enghraifft, mae'r ddau giplun canlynol yn dangos y prosiect glöwr crypto legit hwn a'i glon.

*Prosiect mwyngloddio crypto gwreiddiol. Ffynhonnell: Github*

*Prosiect mwyngloddio crypto wedi'i glonio. Ffynhonnell: Github*

Gwthiwyd llawer o'r ystorfeydd clonau hyn fel “ceisiadau tynnu,” sy'n gadael i ddatblygwyr ddweud wrth eraill am newidiadau y maent wedi'u gwthio i gangen mewn ystorfa ar GitHub.

Cysylltiedig: Dywedir bod Nomad wedi anwybyddu bregusrwydd diogelwch a arweiniodd at ecsbloetio $190M

Unwaith y bydd y datblygwr yn mynd yn ysglyfaeth i'r ymosodiad malware, anfonir y newidyn amgylchedd cyfan (ENV) o'r sgript, y cymhwysiad neu'r gliniadur (apps Electron) i weinydd yr ymosodwr. Mae'r ENV yn cynnwys allweddi diogelwch, allweddi mynediad Amazon Web Services, allweddi crypto a llawer mwy.

Mae'r datblygwr wedi rhoi gwybod am y mater i GitHub ac wedi cynghori datblygwyr i GPG-lofnodi eu diwygiadau a wnaed i'r ystorfa. Mae allweddi GPG yn ychwanegu haen ychwanegol o ddiogelwch i gyfrifon GitHub a phrosiectau meddalwedd trwy ddarparu ffordd o wirio bod yr holl ddiwygiadau yn dod o ffynhonnell ddibynadwy.