GitHub上で、マルウェアを仕込んだリポジトリを本物のものと偽って広める手法が広まっており、サイバーセキュリティ企業が10万を超える感染したリポジトリを発見したとのことです。
この攻撃は現在も続いていて、無知な開発者がこれらのリポジトリを使用すると、マルウェアに感染しパスワードなどの情報が漏洩する可能性があります。
個人開発をする機会も増えてきて、GitHubなどからリポジトリを利用することも多いと思います。いつも使っているからこそ「GitHubなら大丈夫だろう。」と思うこともあるかもしれません。
ですが、今そういった情報リテラシーの甘い人をターゲットにした悪質なリポジトリがかなりの数見つかっているそうなので、改めて気を引き締める必要がありそうです。
フォークされた不正なリポジトリはGitHubが消去しているそうですが、自動検出で見落とされることもあり、手動でアップ済みのリポジトリは消去されずに残るようです。
さらに、何も知らないユーザーが無意識にマルウェアの含まれている悪質なリポジトリをフォークしてしまい、拡散させているケースも少なくないそうです。本当に恐ろしい。。
用語解説
GitHub
GitHubは、プログラムのソースコードをオンラインで共有・管理することのできるサービスです。利用者は国内だけでなく世界中のプログラマーによって使われています。
リポジトリ
リポジトリは、GitHubの最も基本的な要素の一つで、プログラミングコード、ファイル、各ファイルのリビジョンの履歴を格納することのできる場所のことです。
リポジトリは、複数名のコラボレーターが参加できます。リポジトリの公開やプライベート設定など、使う人のニーズに合わせることが出来ます。
フォーク
フォークとは、GitHub上でほかのユーザーが所有しているリポジトリを、自アカウントのリポジトリへコピーすることです。
フォークを使うことで、元となる親リポジトリに英起用を及ぼすことなく、自リポジトリでプログラム等を改変、編集することが出来ます。