Github又被人恶意攻击了？突遭还是涉及35000资源库的大规模攻击 ？ 这个消息不是官方消息，是大规推特用户@Stephen Lacy在推特上发出来的 。 

个人资料显示，模恶密密Stephen Lacy是意攻钥一位软件工程师 ，从事领域为密码学和开源 ，量加露还是突遭一位游戏开发者，开发了一款名为「PlayGodfall」的大规游戏 。 

他声称 ，模恶密密自己发现了Github上的服务器租用意攻钥广泛的大规模恶意攻击行为
。目前已有超过35000个资源库受到感染 。量加露 （不久后他作出更正，突遭受感染的大规为35000+「代码段」
 ，而不是模恶密密资源库） Lacy表示，目前，意攻钥包括crypto,量加露 golang, python, js, bash, docker, k8s在内的著名资源库均受到影响  ，波及范围包括NPM脚本
、Docker图像和安装文件等。

他表示，目前看上去这些恶意的commit看上去人畜无害，香港云服务器起的名字看起来像是例行的版本更新。

而从资源库历史变动记录看
，有些commit来自于原库主，有些则显示用户不存在，还有一些属于归档资源库。 至于攻击的方式 ，攻击者会将库中的多种加密信息上传到自己的服务器上，包括安全密钥、AWS访问密钥 、加密密钥等 。源码库

上传后
，攻击者就可以在你的服务器上运行任意代码。 听上去很可怕 ，有没有？ 而除了窃取加密信息外，攻击者还会构建假的资源库链接 ，并以合法的资源库形式向Github提交clone ，从而甩锅给资源库的原作者 。

Lacy表示  ，这些漏洞和攻击是他浏览一个通过谷歌搜索找到的project时发现的 ，免费模板所以首先要注意的是 ，不要随便安装网上搜到的什么奇奇怪怪的package
 。 另外 ，要防止中招的最好方法是 ，使用GPG加密签名。 目前，Lacy表示，已经向Github报告了他发现的情况 ，目前暂时还未见Github官方作出回应。亿华云

最新消息是，据BleepingComputer报道 ， Github在收到恶意事件报告后 ，已经清除了大部分包含恶意内容的资源库。 按照这个网站的说法  ，实际上，35000个原始资源库并未「被劫持」 ，而是在clone中被添加了恶意内容。

数以千计的后门被添加到了正常合法项目的副本里（fork或clone），以达到推送恶意软件的高防服务器目的 。