GitHub出現67個木馬專案，Banana Squad攻擊軟體供應鏈竊取開發者資料

資安公司ReversingLabs揭露，近期在GitHub發現多達67個含有木馬程式的專案。這些惡意專案仿冒合法開源工具名稱，透過在開發者社群中散布惡意程式碼，竊取使用者系統資訊、應用程式資料、瀏覽器紀錄及加密貨幣等敏感資訊。調查顯示，這波攻擊與資安威脅組織Banana Squad有關，該組織自2023年以來多次針對開源社群發動軟體供應鏈攻擊，目標為程式開發者及資訊科技專業人士。

Banana Squad本次攻擊主要策略，是在GitHub建立與熱門Python工具同名的專案，將惡意木馬程式隱藏於Python原始碼檔案內。木馬程式透過插入大量空白字符，將惡意程式碼隱藏在螢幕右側，降低被開發者檢查發現的機率。研究人員指出，這些偽裝專案的說明內容與合法專案相似，README檔案中則常出現自動產生的亂數字串混淆視聽。

Banana Squad自2023年4月起持續發動相關攻擊，該組織曾於多個開源平臺，包括PyPI及NPM發起類似攻擊，近期則將重心轉向GitHub，根據ReversingLabs及Checkmarx等組織調查，2023年攻擊惡意套件累積超過7萬次下載。GitHub接獲通報後，已協助下架所有被標記為惡意的67個專案，但由於原始碼平臺公開且專案易於複製，實際受害規模難以全面掌握。

研究人員建議，開發者不應僅憑專案名稱或簡介判斷其可信度，應主動比對導入專案與已知良好版本的差異，並利用自動化安全掃描等工具，針對原始碼完整性進行驗證，以確保軟體未遭竄改。