Viking(@vikingmute)
今天又看了 issue 发现一个攻击者偷偷留下的狠招,可以称之为死亡开关
7.5Score
TL;DR · AI 摘要
文章揭示了一种名为‘死亡开关’的恶意软件攻击手法,攻击者通过在受害者的机器上安装 gh-token-monitor 脚本,利用被盗取的 GitHub token 定期检查状态,一旦 token 被撤销,就会触发删除用户本地文件的操作。
核心要点
- 攻击者利用 gh-token-monitor 脚本每 60 秒轮询 GitHub API,检查被盗 token 的状态。
- 一旦检测到 token 被撤销,脚本会立即执行 rm -rf ~/,导致用户本地文件被删除。
- 这种‘死亡开关’攻击手段展示了攻击者如何利用受害者的安全措施来进一步伤害他们。
结构提纲
按章节快速跳转。
思维导图
用一张图看清主题之间的关系。
查看大纲文本(无障碍 / 无 JS 友好)
- ‘死亡开关’恶意攻击
- 攻击机制
- gh-token-monitor 脚本
- 每 60 秒轮询 GitHub API
- 触发条件
- token 被撤销
- rm -rf ~/
- 安全启示
- 保护 GitHub token
- 防止敏感信息泄露
金句 / Highlights
值得收藏与分享的关键句。
攻击者通过安装 gh-token-monitor 脚本,每 60 秒轮询 GitHub API,检查被盗取的 token 状态。
一旦检测到 token 被撤销,脚本会立即执行 rm -rf ~/,导致用户本地文件被删除。
这种‘死亡开关’攻击手段展示了攻击者如何利用受害者的安全措施来进一步伤害他们。
#网络安全#GitHub#恶意软件#安全漏洞#开发者安全
打开原文今天又看了 issue 发现一个攻击者偷偷留下的狠招,可以称之为死亡开关,恶意 payload 在受害者机器上安装了一个名为 gh-token-monitor 的脚本,它每 60 秒轮询 Github API,用偷来的 token 检查状态,一旦检测到 token 被撤销,就立即执行 rm -rf ~/ 这么阴险的报复是怎么想出来的,如果受害者发现异常、赶紧撤销 GitHub token 来止损,反而会直接触发自毁,丢失本地所有文件。 github.com/TanStack/route
Quote
@vikingmute
May 12
TanStack 又被攻击了 tanstack.com/blog/npm-suppl 感觉现在这安全事件就没停过,Next 前几天也经常被搞。 攻击者发布了 84 malicious versions, 具体方式挺有趣的,让 AI 总结下: 1 攻击者以zblgg名义提交了一个看似正常的 PR 7378到 TanStack/router 仓库。 2 Github 在 PR 上运行 CI 3 PR