Ubuntu 源代码还安全吗？Canonical GitHub 账户遭攻陷

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

昨天，不明黑客设法黑入 Ubuntu Linux 项目所属公司 Canonical 的官方 GitHub 账户，并创建了11个新的空仓库。

幸运的是这次网络攻击似乎只是“雷声大雨点小”的涂鸦尝试，而非“静默”复杂的可被用于传播 Ubuntu Linux 恶意版本的供应链攻击。

Cannonical 发布声明称，一名或多名攻击者使用了 Canonical 所属的 GitHub 账户，该账户凭证遭攻陷且被用于越权访问 Canonical的 GitHub 账户。该公司安全团队成员David 表示，“我们能够证实在2017年7月6日，Canonical 所属的一个 GitHub 账户凭证遭攻陷且被用于创建仓库和问题等。Canonical 已删除遭攻陷的账户并且仍在调查泄露范围，截至目前并未发现源代码或个人可识别信息受影响的迹象。”

David 还证实称，由于公司现在使用 Launchpad 托管平台构建并维护 Ubuntu 发行版本，因此 Github 账户上的越权更改并不影响 Linux 操作系统及其数百万名用户。

David 还补充道，“另外，构建并维护 Ubuntu 发行版本的Launchpad基础设施并未和 GitHub 联网，因此并未受影响。我们计划在调查、审计并完成修复后公开更新。感谢大家对 Canonical 的信任，你们的信任对我们至关重要，而这也是我们重视隐私和安全的原因所在。”

该事件发生的两天前，网络安全公司 Bad Packets 曾检测到对 Git 配置文件的大规模扫描活动。这类共建通常包含 Git 账户的凭证，如用于管理 GitHub.com 的文件。

Canonical 目前正在审查 GitHub 上的源代码以调查事件影响，并承诺不久之后发布更多详情。

去年，Gentoo Linux 发行版本的 GitHub 账户遭密码猜测攻击，攻击者成功地设法通过恶意软件替换了其仓库和页面内容。

我们将持续关注事态进展。

原文链接

https://thehackernews.com/2019/07/canonical-ubuntu-github-hacked.html

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”。