亲爱的读者们,你们有没有想过,那些我们每天离不开的数字钱包,竟然也可能藏着隐患?没错,最近,一个名为iToken的钱包就遭遇了恶意代码的攻击,这可真是让人捏了一把冷汗。今天,就让我带你一起揭开这个神秘事件的真相吧!
2019年,一个名为Stephen Lacy的工程师在Twitter上爆料,称GitHub上超过3.5万个开源代码仓库被加入了恶意代码。其中,iToken钱包也未能幸免。这些恶意代码主要涉及Go代码、NPM安装脚本、容器镜像配置等内容,让人防不胜防。
这些恶意代码看似简单,实则暗藏玄机。它们会先尝试获取一个名为“e452d6ab”的环境变量,如果值为1,则直接结束运行。如果找不到对应的环境变量,则会设置该环境变量,防止重复执行。将当前环境的环境变量转为json格式的变量env。
更可怕的是,攻击者还在commit中加入了“逼真”的注释、license、commit说明等内容,使得恶意代码更容易隐藏。他们甚至通过收集原仓库commit信息,生成与之相似的结果,比如与代码变更相符的Update README.md或Update license提交,这充分体现了攻击者强大的工程化能力。
三、攻击手法揭秘:马甲账号、撞库、API Token泄漏
那么,这些恶意代码是如何被植入iToken钱包的呢?目前,官方尚未给出具体原因,但我们可以从以下几个方面进行推测:
1. GitHub账号撞库:抽样统计发现,多个被投毒的账号密码此前已经泄漏,因此可能通过撞库获得账号权限。
2. GitHub API Token泄漏:攻击者通过收集公开泄漏的token,从而对仓库进行直接操作。
3. 攻击者注册了一批马甲账号:攻击者可能注册了一批虚假的马甲账号,模仿真实项目,再通过马甲账号发布与原仓库类似的代码。
虽然此次事件中,被投毒的仓库大多处于长期不维护的状态,star和fork数量基本为0,但这也提醒我们,开源社区的安全问题不容忽视。对于iToken钱包用户来说,以下建议或许能帮助你们提高防范意识:
1. 定期更新钱包:及时更新钱包版本,修复已知漏洞。
3. 谨慎使用API Token:不要将API Token泄露给他人。
4. 关注官方动态:关注iToken官方渠道,了解最新安全动态。
在这个数字时代,安全意识至关重要。让我们共同守护开源社区的安全,让恶意代码无处遁形!
