GitHub 目前正在努力遏制一場持續(xù)性的大規(guī)的惡毒存攻擊，有加密貨幣相關(guān)的模持犯罪團伙利用自動化工具創(chuàng)建大量 GitHub 賬號，然后再去自動化 fork 知名的續(xù)性存儲庫，在這些存儲庫里添加攜帶后門程序。意存已刪

這些后門程序主要針對的儲庫除數(shù)儲庫是加密貨幣投資者，即如果用戶或開發(fā)者不慎使用了這些帶有后門的攻擊個帶項目，他們的百萬加密錢包數(shù)據(jù)可能會被竊取，進而損失資金。藍點

犯罪團伙選擇拿 GitHub 當目標自然也是很有道理的，GitHub 在谷歌搜索上的模持權(quán)重非常高、點擊量更大，續(xù)性不少用戶其實無法分辨 GitHub 上的意存已刪項目是原項目還是其他人 fork 的版本，因此也更容易中招。儲庫除數(shù)儲庫

但這種自動化、攻擊個帶大規(guī)模的百萬對 GitHub 展開襲擊還是很少見的，犯罪團伙自然知道如此規(guī)模的攻擊必然會引起 GitHub 的注意以及進行技術(shù)對抗，但犯罪團伙還是這么干了，說明他們也有自信自己的自動化系統(tǒng)可以在 GitHub 的圍追堵截下繼續(xù)工作。

事實上也確實如此，GitHub 目前已經(jīng)刪除了數(shù)百萬個有問題的存儲庫，這些存儲庫主要 fork 一些大的、知名的存儲庫，被 fork 的存儲庫大約有 10 萬個。

這種也屬于供應(yīng)鏈攻擊，而針對 GitHub 發(fā)起的供應(yīng)鏈攻擊數(shù)不勝數(shù)，但是出現(xiàn)百萬級別的惡意存儲庫也是極為少見的，目前 GitHub 正在使用人工審查 + 大規(guī)模機器學(xué)習(xí)檢測來刪除這些惡意存儲庫，然而還是有一些攜帶后門的存儲庫成為漏網(wǎng)之魚，這些漏網(wǎng)之魚有可能會被用戶下載。

目前沒有證據(jù)表明這些漏網(wǎng)之魚的生命周期是多久，但 GitHub 哪怕是遲了個一兩天才把漏網(wǎng)之魚檢測出來，在這一兩天里可能也會有用戶中招。

所以，下次從 GitHub 上下載內(nèi)容時記得看看 issues、提交歷史、star 數(shù)作為參考，避免從搜索引擎進入了 fork 的存儲庫帶來安全風(fēng)險。