GitHub 目前正在努力遏制一場持續性的攻擊，有加密貨幣相關的犯罪團夥利用自動化工具創建大量GitHub 帳號，然後再去自動化fork 知名的存儲庫，在這些存儲庫裡添加攜帶後門程序。這些後門程式主要針對的是加密貨幣投資者，即如果用戶或開發者不慎使用了這些帶有後門的項目，他們的加密錢包資料可能會被竊取，進而損失資金。

犯罪集團選擇拿GitHub 當目標自然也是很有道理的，GitHub 在谷歌搜尋上的權重非常高、點擊量更大，不少用戶其實無法分辨GitHub 上的項目是原項目還是其他人fork 的版本，因此也更容易中招。

但這種自動化、大規模的對GitHub 展開襲擊還是很少見的，犯罪團夥自然知道如此規模的攻擊必然會引起GitHub 的注意以及進行技術對抗，但犯罪團夥還是這麼乾了，說明他們也有自信自己的自動化系統可以在GitHub 的圍追堵截下繼續運作。

事實上也確實如此，GitHub 目前已經刪除了數百萬個有問題的儲存庫，這些儲存庫主要fork 一些大的、知名的儲存庫，被fork 的儲存庫大約有10 萬個。

這種也屬於供應鏈攻擊，而針對GitHub 發起的供應鏈攻擊數不勝數，但是出現百萬級的惡意存儲庫也是極為少見的，目前GitHub 正在使用人工審查+ 大規模機器學習檢測來刪除這些惡意存儲庫，然而還是有一些攜帶後門的儲存庫成為漏網之魚，這些漏網之魚有可能會被使用者下載。

目前沒有證據顯示這些漏網之魚的生命週期是多久，但GitHub 哪怕是遲了個一兩天才把漏網之魚檢測出來，在這一兩天裡可能也會有用戶中招。

所以，下次從GitHub 上下載內容時記得看看issues、提交歷史記錄、star 數作為參考，避免從搜尋引擎進入了fork 的儲存庫帶來安全風險。