资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
GitHub确认数千内部仓库遭未授权访问 币安创始人紧急呼吁更新密钥
GitHub近日证实,因员工设备遭入侵导致近3800个内部代码仓库被未授权访问。该事件促使币安创始人赵长鹏紧急呼吁加密货币开发者立即轮换存储在代码仓库中的API密钥。
供应链攻击事件频发
根据GitHub周三发布的声明,该微软旗下平台表示检测到与员工设备入侵相关的未授权访问,并已启动内部调查。公司强调目前"没有证据表明存储在GitHub内部仓库之外的客户信息受到影响"。进一步细节显示,此次入侵涉及周二发现的遭篡改Visual Studio Code扩展程序。该公司表示在隔离受影响端点并启动事件响应程序后,已移除恶意扩展。
尽管GitHub坚称客户仓库和企业环境未受影响,但承认约3800个内部仓库遭到波及。该数字与黑客组织TeamPCP随后宣称的数据高度吻合。安全研究机构将该组织描述为高度自动化的网络犯罪团体,专门通过入侵开发工具获取凭证并谋取经济利益。网络流传报告显示,该组织曾试图出售声称与GitHub内部系统相关的"4000个私有代码仓库"。
加密货币开发安全警报
在此背景下,赵长鹏敦促开发者检查仓库中可能暴露的凭证,警告即使存储在私有代码库中的API密钥也需立即更换。加密货币开发者高度依赖GitHub基础设施管理开源项目、交易机器人、区块链应用和去中心化金融工具。仓库中常包含交易所API凭证、云基础设施令牌、钱包访问配置和部署脚本,使得此类环境成为攻击者的重点目标。
GitHub表示已轮换其称为"关键密钥"的凭证,优先处理操作风险最高的凭据。公司补充说调查仍在进行中,团队正在持续分析日志并监测后续活动,之后将发布完整事件报告。
行业安全态势持续承压
此次GitHub安全事件发生前数日,可观测性公司Grafana Labs刚披露另一起涉及GitHub仓库未授权访问的供应链攻击。该公司表示攻击者下载了部分代码库后,以可能披露数据为由发出勒索要求。
最新进展重新引发对针对加密货币用户和开发者的仓库攻击的担忧。今年三月,安全平台OX Security曾详细说明一场与OpenClaw开源AI代理项目相关的钓鱼活动。据该平台披露,攻击者创建虚假GitHub账户,通过在问题讨论中承诺虚假代币空投来引诱开发者。受害者随后被重定向至欺诈网站,通过恶意钱包连接提示清空加密货币钱包。
研究人员表示,该活动使用混淆的JavaScript文件和浏览器跟踪命令来监控用户活动,同时通过内置删除功能隐藏痕迹。OX Security随后建议用户屏蔽相关域名,避免将钱包连接至新出现的网站。
对于币安而言,GitHub托管密钥的安全隐患并非新问题。2024年2月曾有调查报道称,与币安相关的代码和基础设施数据缓存已在GitHub上公开访问数月。报道称暴露材料包括内部架构图、身份验证相关代码以及标记为"生产环境"系统的密码。当时币安承认泄露事件,但表示这些信息对用户和平台安全仅构成"可忽略风险",同时指出暴露代码已与生产环境不匹配。
