当前位置：首页 > news >正文

4 [危机13小时追踪一场GitHub投毒事件]

news 文章来源：https://blog.csdn.net/vbnetcx/article/details/145378062 2025/4/5 21:57:58

事件概要

自北京时间 2024.12.4 晚间6点起， GitHub 上不断出现“幽灵仓库”，仓库中没有任何代码，只有诱导性的病毒文件。当天，他们成为了 GitHub 上 star 增速最快的仓库。超过 180 个虚假僵尸账户正在传播病毒，等待不幸者上钩。

而这一切被一位中国开发者--我收在眼底。经过几天的探测寻找，疑似找到了攻击者的真身。

事件经过

别人编写了一套开源程序，用于寻找当下最早期的潜力种子项目。源码 https://github.com/chmod777john/github-hunter

我曾经用它找到过一个很好的开源项目 MagicQuill ，在其创建还不足24小时的时候我就检测到它了。

自此我大受鼓舞，决定每天都用我的算法搜寻一下Github上最新创建的仓库中，看看哪些是有潜力的。这样我可以领先于官方的Github Trending榜，也能比绝大部分科技媒体更早地发现好项目。

在 12.4 的搜寻过程中，我发现了一批不太一样的仓库。

这里面的 is None 代表仓库有大量 star 记录，后来却被删库。为何有如此大量的高赞仓库会被删除呢？

期初我没在意，而在一天后，这些仓库再次出现。

就好像幽灵一样，建仓->取得高赞->删库->再次创建。

罪证

这些仓库点进去一看，都是同一种风格：声称自己是某个游戏的外挂或者 PhotoShop 破解版之类的，引导用户下载并且打开他的 exe 文件。

基本可以确定是钓鱼仓库了。所有这些仓库创建时间都非常相近，大约就是十多小时之前，而且短时间内积累到几百 star ，其背后必有高人。

追凶

这些攻击者是谁？我决定一探究竟。

历时4年的攻击

首先查看是谁给这些仓库点了赞，

我本以为大多是最新创建的机器人账号。

出乎意料的是，这些账号的加入时间并不短。有些账号甚至是 2020 年就加入 Github 了。

4年的老号可不是说弄就弄的，如果这号是他自己的，那可真是下了血本，一个号养4年就为了这一天？

如果这号是他在黑市上买的，那说明4年前就有人开始批量养小号，也是一条很可观的产业链了。（创业都不一定能创4年呢）

无论这些号是攻击者自己养的还是在黑市上买的，成本都不低。

一片空白

我开始逐个账户打开查看，坐实了一件事：这些仓库都是一伙儿的！

这个人点赞过的所有仓库，都是刚刚说的幽灵仓库！

不过个人资料卡上完全没有任何痕迹。没有粉丝，也没有关注的人，这让我们无从下手，简直一片空白。

漫漫长路

180 多个账号，我真的逐个点开来看了。其中大部分的都是纯粹的空白账户，只用来点赞。但仍然有一些是附带个人资料的。

这个账号甚至附带了个人网页和 Instagram 。

不过凡事讲究双向证明。万一这个账号是冒用小哥的信息呢？只能将其列为怀疑对象。

峰回路转

攻击者账户 follow 了谁，并不重要，因为攻击者可以冒用他人信息。真正有用的线索，应该看谁 follow 了攻击者。

踏破铁鞋无觅处，我找到了一个活人账号。

有 5 个人 follow 了这个账号！而且看他的 star 历史，可以明确他是攻击者之一。

而且该账号有真实的 Github 代码提交记录（记住这个叫 SimpleBot 的仓库）

我们来看看是谁 follow 了这个 G4tito

这两位都是大人物。看看他们的 Github 主页长啥样：

BrunoSobrino 和 elrebelde21 这两位大 V，曾经合作过一个开源项目。

和明确攻击者做的项目是同名的！

至此，逻辑链如下：

可见 BrunoSobrino 和 elrebelde21 这两位大牛，跟攻击者 G4tito 可能是有联系的。

其实到这里基本破案了。操纵 180 多个账号是短时间内点赞和创建仓库，批量生成内容，不太可能用人工完成，应该是用 GitHub API 自动化做的。这两位大牛和明确攻击者，做的项目都是那种 WhatsAPP 机器人，技术栈也相当吻合了。

2024.12.7 凌晨 6:11 更新

经评论区大佬提点，找到一个疑似线索

地址

https://github.com/BrunoSobrino/ShadowBotV3

GhostArchive 备份地址 https://ghostarchive.org/archive/1EZ9e

证据

我知道曝光之后，他们肯定会删库的，因此我已经提前把所有网页都备份到 GhostArchive 了。

我挖掘到的恶意仓库列表，也全都放在了区块链上，形成铁证。

各位看官不必信任我，请直接去查看区块链。所有记录都在里面。

https://viewblock.io/arweave/tx/Cppr-Bus0TxC6_zqD-sJitVz4Ne3sR0noJknsuyhZ4Q

宣传

我知道一些媒体朋友会见到这篇文章，我希望你们帮我推广。

我只是一个不起眼的小人物，这个故事不推广的话，就只能烂在我的肚子里。

我认为这是个好故事。中国程序小哥，单枪匹马，通过大数据筛查的方式，破获了一起 GitHub 恶意软件钓鱼事件，涉及的大V在 Github 上有接近数百关注者，获得过几千 star 。同时涉及有多达 180 个虚假账号，长达 4 年的活动。这些 buff 叠在一起，相当有故事性了。

更重要的是，这件“真人真事” 是可以被检验的。所有的记录都在区块链上，涉事人删库也没用。

所有人都可以重走一遍我的侦查之旅，仔细检验每个网页备份。

把这个故事发扬出去，能有什么好处：

我可以用区块链私钥签署一条消息，内容是“xx媒体慧眼识珠，是第一批愿意帮助我推广这个故事的人” 。消息一旦签署上链，所有人都可以校验，而且不可篡改，如同铁证，连我自己也无法反悔。

凭借这样一条消息，我越火，你的含金量越高。

我不太会讲故事，但上面都是真事儿，每个细节都可以检查。

如果你觉得这个故事可以帮我讲好的话，联系我。

事件描述：

chmod777john/ghost-reposgithub.com/chmod777john/ghost-repos

我发现这个攻击事件所用的工具：

github-hunter/index.ipynb at main · chmod777john/github-huntergithub.com/chmod777john/github-hunter/blob/mai

4 [危机13小时追踪一场GitHub投毒事件]

事件概要自北京时间 2024.12.4 晚间6点起， GitHub 上不断出现“幽灵仓库”，仓库中没有任何代码，只有诱导性的病毒文件。当天，他们成为了 GitHub 上 star 增速最快的仓库。超过 180 个虚假僵尸账户正在传播病毒，等待不…...

编程日记 2025/2/4 0:09:09

Shadow DOM举例

这东西具有隔离效果，对于一些插件需要append一些div倒是不错的选择 <!DOCTYPE html> <html lang"zh-CN"> <head> <meta charset"utf-8"> <title>演示例子</title> </head> <body> <style&g…...

编程日记 2025/2/4 0:07:05

力扣动态规划-18【算法学习day.112】

前言 ###我做这类文章一个重要的目的还是记录自己的学习过程，我的解析也不会做的非常详细，只会提供思路和一些关键点，力扣上的大佬们的题解质量是非常非常高滴！！！ 习题 1.下降路径最小和题目链接:931. …...

编程日记 2025/2/4 0:03:00

网络基础

协议协议就是约定网络协议是协议中的一种协议分层协议本身也是软件，在设计上为了更好的模块化，解耦合，也是设计成为层状结构的两个视角： 小白：同层协议，直接通信工程师：同层协议&…...

编程日记 2025/2/4 0:01:59

使用 EXISTS 解决 SQL 中 IN 查询数量过多的问题

在 SQL 查询中，当我们面对需要在 IN 子句中列举大量数据的场景时，查询的性能往往会受到显著影响。这时候，使用 EXISTS 可以成为一种优化的良方。问题的来源假设我们有两个表，orders 和 customers，我们需要查询所有…...

编程日记 2025/2/3 23:59:58

使用SpringBoot发送邮件|解决了部署时连接超时的bug|网易163|2025

使用SpringBoot发送邮件文章目录使用SpringBoot发送邮件1. 获取网易邮箱服务的授权码2. 初始化项目maven部分web部分 3. 发送邮件填写配置EmailSendService [已解决]部署时连接超时附：Docker脚本Dockerfile创建镜像启动容器 1. 获取网易邮箱服务的授权码温馨提示…...

编程日记 2025/2/3 23:57:54

Ruby Dir 类和方法详解

Ruby Dir 类和方法详解引言在 Ruby 中，Dir 是一个非常有用的类，用于处理文件系统中的目录。它提供了许多方便的方法来列出目录内容、搜索文件、以及处理文件系统的其他相关操作。本文将详细介绍 Ruby 的 Dir 类及其常用方法。一、Dir 类概述 Dir …...

编程日记 2025/2/3 23:52:46

克隆OpenAI（基于openai API和streamlit）

utils.py： from langchain_openai import ChatOpenAI from langchain.memory import ConversationBufferMemory from langchain.chains import ConversationChain import osdef get_chat_response(api_key,prompt,memory): # memory不能是函数的内部局部变量&…...

编程日记 2025/2/3 23:43:30

位运算算法题

一.判断字符是否唯一法一： 我们直接借助一个字符数组来模拟哈希表统计字符串即可，并且我们没有必要先将所有字符都放入字符数组中，边插入边判断，当我们要插入某个字符的时候，发现其已经出现了，此时必然重复…...

编程日记 2025/2/3 23:42:27

12 向量结构模块（vector.rs）

一vector.rs源码 // Copyright 2013 The Servo Project Developers. See the COPYRIGHT // file at the top-level directory of this distribution. // // Licensed under the Apache License, Version 2.0 <LICENSE-APACHE or // http://www.apache.org/licenses/LICENSE…...

编程日记 2025/2/3 23:40:24

Android车机DIY开发之学习篇(六)编译讯为3568开发板安卓

Android车机DIY开发之学习篇(六)编译讯为3568开发板安卓 1.SDK解压到家目录下的 rk3588_android_sdk 目录一. 全部编译 ###安装所需环境 sudo apt-get update sudo apt-get install git-core gnupg flex bison gperf build-essential zip curl zlib1g-dev gcc-multilib g…...

编程日记 2025/2/3 23:30:11

Codeforces Round 863 (Div. 3) E. Living Sequence

题目链接头一回用不是正解的方法做出来，也是比较极限，直接说做法就是二分数位dp 数位 d p dp dp 求 1 − n 1-n 1−n出现多少含 4 4 4的数字个数这纯纯板子了 \sout{这纯纯板子了} 这纯纯板子了设 f ( x ) f(x) f(x) 为 1 − x 1-x 1−x 中含有4的…...

编程日记 2025/2/3 23:26:07

一文讲解HashMap线程安全相关问题(上)

HashMap不是线程安全的，主要有以下几个问题： ①、多线程下扩容会死循环。JDK1.7 中的 HashMap 使用的是头插法插入元素，在多线程的环境下，扩容的时候就有可能导致出现环形链表，造成死循环。 JDK 8 时已经修复了这个问…...

编程日记 2025/2/3 23:21:02

MFC 创建Ribbon样式窗口

然后点击下一步直到完成即可...

编程日记 2025/2/3 23:17:58

uv 安装包

是的，你可以使用 uv 来安装 Python 包。uv 是一个高性能的 Python 包安装器和解析器，由 astral.sh 团队开发，旨在替代 pip 和 pip-tools，提供更快的包安装体验。 ### 如何使用 uv 安装包 1. **安装 uv**： 如果你还…...

编程日记 2025/2/3 23:16:56

IELTS口语练习题库

IELTS口语1-4月题库 Part 1 Gifts Have you ever sent handmade gifts to others? Yes, I have. I once made a scrapbook for my best friend’s birthday. It included photos of our memories together and some handwritten notes. She loved it because it was personal…...

编程日记 2025/2/3 23:13:54