供应链攻击技术欺骗 GitHub 提交元数据

发布时间：2025-12-07 20:06:30 作者：玩站小弟

开源软件可帮助开发人员更快地创建应用程序，如果他们认为第三方代码来自可靠来源，他们中的许多人可能会跳过对第三方代码的适当审计。例如，他们可能会选择积极维护的 GitHub 存储库或有信誉良好的个人作为。

开源软件可帮助开发人员更快地创建应用程序，链攻如果他们认为第三方代码来自可靠来源，击技交元他们中的术欺数据许多人可能会跳过对第三方代码的适当审计。例如，链攻他们可能会选择积极维护的击技交元 GitHub 存储库或有信誉良好的个人作为贡献者的存储库。

根据 Checkmarx 的术欺数据说法，威胁参与者可以伪造一些与 GitHub 存储库相关的链攻数据，以增强他们的击技交元跟踪记录，并使它们更有可能被应用程序开发人员选中。免费模板术欺数据

具体来说，链攻研究人员发现有人可能会篡改提交元数据，击技交元从而使存储库看起来比实际更旧，术欺数据或者有信誉的链攻贡献者参与了其维护。

提交对于 Git 版本控制系统是击技交元必不可少的：它们记录对文件所做的更改、这些更改是术欺数据在何时进行的，以及是谁进行的。每个提交都有一个唯一的云计算 ID 或哈希。

然而，根据 Checkmarx 的说法，人们可以以这样一种方式操纵与提交相关的时间戳，即 GitHub 上列出的时间戳可以早于用户提交的创建以及更改所针对的存储库的创建。

虚假提交可以自动生成并自动添加到用户的 GitHub 活动图中，这可能使恶意用户看起来好像他们已经在代码托管平台上活动了很长时间。

“由于活动图显示了公共和私人存储库上的活动，香港云服务器因此不可能抹黑这些虚假提交，因此这种欺骗技术也很难检测到，”Checkmarx 说。

此外，研究人员发现提交者的身份可以被欺骗，将提交归因于真实的 GitHub 帐户，例如平台上的顶级贡献者。

为此，恶意用户需要检索目标帐户的电子邮件地址——如果开发人员选择启用该功能，通常会隐藏该地址——并使用特定命令将 Git CLI 中的用户名和电子邮件设置为欺骗用户的用户名和电子邮件. 虽然这增加了 GitHub 存储库的高防服务器声誉，但被欺骗的用户永远不会被告知他们的名字被使用。

“为了使他们的项目看起来可靠，攻击者可以使用这种技术一次或多次，并用已知的可靠贡献者填充他们的存储库的贡献者部分，这反过来使项目看起来值得信赖，”Checkmarx 指出。

GitHub 用户可以使用提交签名验证功能对他们的提交进行加密签名，但未签名的亿华云提交不会被标记。

根据 Checkmarx 的说法，用户可以启用“警惕模式” ，在该模式下显示所有提交的验证状态，从而提高该功能的有效性。

“虚假元数据可能会误导开发人员使用他们故意不使用的代码，并且可能包含恶意代码。缺乏对提交者身份和提交时间戳的验证本身就是一个问题。

Tag：

2023年关键的云计算和安全趋势
研究机构预计2023年将出现强劲的经济逆风，企业的运营将迎来不确定的一年，他们希望少花钱多办事。近年来，云计算技术提高了企业的运营弹性，对这些服务的依赖度也在不断增加，但云计算优化和成本控制将是至关重
2025-12-07
高性能计算需求如何塑造未来的数据中心
简而言之，高性能计算(HPC)是计算能力的聚合，可提供远高于标准台式机或服务器预期的性能水平。通常，HPC部署用于运行复杂的算法、模型或深度学习工作负载，以解决工程、科学或业务中的大型问题。由于CPU
2025-12-07
服务器高延迟的七个原因
衡量服务器或数据中心性能的指标有很多，其中之一就是衡量延迟。从《理解延迟及其重大影响》一文中，我们知道延迟是指服务器上的数据到达用户所需的时间，以时间为单位来衡量。较低的延迟意味着更好的性能，因为服务
2025-12-07
如何可持续地管理数据中心用水
根据联合国的说法，水和气候变化有着密切的联系。气候变化导致水温升高，加剧了水污染和水质，而冰川融化减少了水供应，导致水资源更加短缺。能源生产高度依赖于水，这就是为什么人们关注数据中心及其对环境的影响。
2025-12-07
Facebook 认罚7.25 亿美元用于和解隐私诉讼
Facebook 母公司 Meta 已同意支付 7.25 亿美元来了结一项长期诉讼，该诉讼指控该社交网络允许第三方包括 Cambridge Analytica）访问用户的私人数据。该金额在周四晚些时
2025-12-07
数据中心网络有哪些值得关注的技术趋势
当我们深入研究数据中心网络的未来时，很明显，这一格局正在以前所未有的速度发展。新技术的出现和对数据日益增长的需求正在推动数据中心的设计、管理和运营方式发生重大变化。本文探讨了塑造数据中心网络未来的一些
2025-12-07