GitHubに大量の悪質リポジトリ、その数“10万超” 感染するとパスワード流出の恐れ

GitHubでマルウェアを仕込んだリポジトリを本物に見せかけて拡散させる手口が横行し、10万を超す感染リポジトリが見つかっているとしてサイバーセキュリティ企業が注意を呼びかけている。攻撃は今も続いており、何も知らない開発者がこうしたリポジトリを使えば、マルウェアに感染してパスワードなどの情報が流出する恐れがある。 サプライチェーンのセキュリティ対策を手掛ける米Apiiroによると、GitHubのリポジトリを狙う「リポコンフュージョン（取り違え）攻撃」は2023年11月ごろから激化したという。 攻撃者は、開発者をだまして悪質なコードやファイルをダウンロードさせる目的で、正規のリポジトリのクローンを作成。そこにマルウェアを呼び出すコードを仕込み、同一の名称でGitHubにアップロードする。次に自動化の仕組みを使ってそれぞれを何千回もフォークさせ、Web上のフォーラムなどで宣伝しているという。

[hase0510]

「この記事をおすすめしました」というコメントが増えることは誰かの役に立っているのだろうか。ただのノイズではないだろうか。

[ghostbass]

オリジナルのリポジトリが開発停止に見えてしまう場合に fork をたどろうかと思うけど、割と危険なのだねえ

[otchy210]

こういうニュースを見ると MS の資本が入ってくれて良かったと思う。セキュリティ面での対策にも金をかけられそうっていう信頼感が GitHub 単体だった頃と違う。

[umai_bow]

GitHub以外に本家リポジトリがあるようなケースは普通に騙されそう

[gomakyu]

善意で運用が成立した後、悪意がそれを覆そうとする、ってEメールとSPAMみたい。いや、なんだってそうか。

[door-s-dev]

知らないコードはコンテナ内で実行した方が良い気はしてたけど実践できてなかったからちゃんとやらないとなぁ

[progrhyme]

やば

[ysync]

目的のソースが見当たらない時に誰かforkしてないかと探すことは多いが、バイナリは他所から落としはしないので、気をつけるのはスクリプト系かな。

[mohno]

「GitHubのリポジトリを狙う「リポコンフュージョン（取り違え）攻撃」は2023年11月ごろから激化した」/性善説で成り立つオープンな仕組みは悪意に弱い、ということかな。

[aceraceae]

これはこわい

[lenore]

一部のならず者のせいで運用コストが跳ね上がる例がまたひとつ増えたね。ホントにもう……

[nibushibu]

こわっ

[hagane]

gitのhookとかを使っているのかな？

[diveintounlimit]

こええ

[Kazumi007]

これ怖いな。間違いおきそう

[xlc]

コントリビュート乞食が痛い目にあう。

[yukinissie]

怖っ、気をつけよう。。

[hiroshe]

こういうのGitHub側で何とかしてくんないと怖くて（面倒くさくて）使えないよ

[utsuidai]

巧妙過ぎて辛い

[poad1010]

この記事をおすすめしました

[defiant]

この記事をおすすめしました

[warp9]

" 正規のリポジトリ " かどうか、確実に確かめる方法はあるのだろか。