研究人员表示，当今的软件项目通常有大量的依赖库，而上游库的漏洞将会影响到下游软件。据悉，最大的开源软件开发平台 GitHub 于近期宣布了安全警告服务，将搜索依赖库后寻找已知漏洞，以便帮助开发者尽可能快的修复漏洞。 目前，GitHub 将会识别所有使用受影响依赖的公开项目。然而，使用私有库的项目则需要选择加入后才能使用安全警告服务。 稿源：solidot奇客，发明源自网络；

据外媒报道，尽管苹果过去声称自己是许多开源项目的重要贡献者，但实际上它的许多技术对外仍处于封闭状态。不过这家库比蒂诺公司日前作出了一个重大的转变–在 GitHub 上发布了旗下旗舰系统的 XNU 内核源代码。 XNU 是一个在 mac OS–包括以往所有的 OS X 和 iOS 使用的类 Unix 内核。通过开放该内核代码，开发者们将能更好地理解苹果设备以及软件上层如何跟该内核协调运作的。目前并不清楚将会有多少开发者会因此而受益，但看起来这是苹果用于吸引开发者的方法之一。 稿源：cnBeta，封面源自网络；

国家安全局是美国情报机构中最秘密的单位。它雇用天才级程序员和数学家，以破解密码收集对手的信息，并捍卫美国国家免受数字攻击威胁。不出所料，美国国家安全局一直倾向于在黑暗中工作。但自从 2013 年 Snowden 泄漏事件以来，该组织逐渐增加了公众透明度。几年前，它开了一个 Twitter 账户，这也是 Edward Snowden 在 2015 开设 Twitter 账户之后关注的第一个账户。 现在，它开了一个 Github 帐户，并在 NSA 技术转移计划（TTP）下共享了几个有趣的代码库。到目前为止，它列出了 32 个不同的项目，尽管其中一些项目即将推出。许多新项目也不是新的，而且已经有一段时间了。例如，SELinux（安全增强型 Linux）多年来一直是 Linux 内核的一部分。 NSA 采取这一举动。对于初学者来说，技术老手有一个漫长而自豪的技术传统，即把防御和智能技术向公众传播。互联网本身就是一个很好的例子。另外，NSA 通过 Github 与技术人员接触，也是招聘潜在人才的好方法。 稿源：cnBeta.COM，封面源自网络  

安全测试公司 Tellspec 首席技术官贾森 · 库尔斯（ Jason Coulls ）无意发现印度加尔各答的一名 塔塔（Tata）开发员不小心将一大批金融机构的源代码和内部文件上传至 GitHub 公共代码库中。据悉，该批文件主要包括开发说明、原始源代码、关于网络银行代码开发计划的内部报告以及与外包合作伙伴之间的电话记录。 据悉，这些文件涉及塔塔为六家知名加拿大银行、两家著名的美国金融机构、一家跨国日本银行以及一家年收入高达数十亿美元的金融软件公司从事的编程工作。无论对于可能利用设计中任何缺陷、进而窃取数百万美元的犯罪分子而言，还是对于正在开发类似产品功能的竞争对手而言，这些数据都异常宝贵。 接到泄密警告后，仅仅只有美国金融机构迅速接受忠告，并立即作出回应。目前，虽然泄露文件已从 GitHub 上删除，但塔塔没有作出任何回应。出于安全考虑，受影响客户的名称并未透露。 稿源：sohu搜狐，内容有删节；封面源自网络

网易科技讯 4 月 1 日消息，据 Venturebeat 报道微软近日宣布，将关闭开源软件托管平台 CodePlex。微软 2006 年推出这项服务，并决定在今年 12 月 15 日将其关闭。 微软公司副总裁布莱恩·哈里（Brian Harry）在博文中写道，人们将可以下载他们的数据档案，微软正与面向开源及私有软件项目的托管平台 GitHub 合作，给用户提供“简化的进口体验”，代码和相关内容都将转移到 GitHub 上。简单来说，GitHub 赢了！ 哈里写道：“过去多年中，我们已经看到许多惊人的选项起起落落。但是现在，GitHub 正成为开源共享和大多数开源项目托管事实上的中心。”过去几年里，微软越来越向 GitHub 倾斜。它已经于 2016 年将 CNTK 深度学习工具包从 CodePlex 转移到 GitHub 上。今天，微软的 GitHub 组织已经有 16000 多名开源贡献者。2016 年，GitHub 本身也为微软适应 GitHub 做出很多努力。 与此同时，CodePlex 则不断没落。在今年 2 月份，人们在这个平台上托管的开源项目还不到 350 个。GitHub 是基于 Git 的开源版本控制软件，可以被多人用于追踪变化。人们可以移动代码到 Atlassian  的 Bitbucket 和微软 Visual Studio Team Services 等替代系统上。初创企业 GitLab 也为开源和私有项目提供托管服务。 2016 年，谷歌已经关闭了自己的托管服务 Google Code。哈里写道：“我们很荣幸能与 GitHub 密切合作，共同促进开源项目。”开源软件并非微软文化中的真正核心，但这种情况过去几年有所改变。该公司于 2015 年推出了开源项目 .NET 和 Visual Studio Code 开源文字编辑器，2016 年 8 月份推出 PowerShell。 哈里写道，人们可能无法在 CodePlex 上继续创造新的项目。该网站将在 10 月份变为只读，并在 12 月份关闭。届时，人们依然可以浏览上面的代码。 稿源：网易科技，封面源自网络

来自网络安全解决方案团队（Cyber Safety Solutions Team）的分析结果 通常来说开发者在发布新版本的应用或维护创建的项目时需要经常修改源代码。为满足此方面需求，GitHub 作为一个提供版本控制管理的在线存储库托管服务应运而生。在许多方面，它就像一个程序员和开发人员的专属社交网站，为代码管理、共享、协作和集成提供了一个宝贵的平台。 尽管如此，GitHub 被滥用的现象也屡屡发生。例如，据称以学习为目的创建的开源勒索软件项目 EDA2 和 Hidden Tear 就曾在 GitHub 上进行托管并由此滋生了指向企业的各种分支。此外，物联网（IoT）设备漏洞利用工具在 GitHub 上也有提供。即使是用于针对性攻击的无限键盘记录器（ Limiless Keylogger ）也与 GitHub 项目相关联。 最近，具有传统网络犯罪（尤其是金融诈骗）背景的中国黑客组织 Winnti 集团被指控将 GitHub 滥用为疑似其新后门（被 Trend Micro 检测为  MBKDR64_WINNTI.ONM ）的命令与控制（ C＆C ）通信传输渠道。研究还表明，该组织目前仍在使用一些臭名昭著的 PlugX 恶意软件变种（ Winnti 兵器库主要内容）通过特定的 GitHub 帐户进行有针对性的攻击操作。 恶意软件分析 安全团队分析的恶意软件分为两个文件：loader 和 payload。 loadperf.dll 是与其有着相似名称的合法对应文件的修改版本。作为 Microsoft 文件，它有助于操纵性能注册表。目前，已在原有分区上新添加了一个额外组件。该文件自复制在  WINDIR％\system32\wbem\ 上并替换原始 DLL，利用 Windows 收集与系统性能相关信息的合法文件——WMI 性能适配器服务（wmiAPSrv），通过 services.exe 导入loader。该系统还导入所有相关 DLL 文件并将payload loadoerf.ini 包括在内。感染链包括从 loadoerf.ini 导入的附加功能 gzwrite64（虽然为空）。gzwrite64 被用作 payload 入口点的虚假应用程序接口（API）。尽管 gzwrite64 由 loadperf.dll 导入，payload 主要功能实际上位于 loadoerf.ini 的 DLLMain 中。 图 1：添加至原 loadperf.dll 文件的附加分区 .idata 图 2： 导入的附加功能 gzwrite64 payload 是一个名为 loadoerf.ini 的文件，具有解密、运行和代码注入功能。DLLMain 被系统加载时通过 CryptUnprotectData 解密 payload。由于该功能高度依赖于实际“设备 ID ”，无法通过非原始受感染主机解密，增加了恶意软件分析难度。 图 3：payload 中使用的解密功能 解密之后，在设备上运行的部分代码随即被注入到 svchost.exe（一个关键的 Windows 组件）；payload 被加载到内存。 图 4：loadoerf.ini 执行/感染流程 说到这里，GitHub 到底如何被滥用呢？感染成功后，恶意软件开始通过存储在 GitHub 项目中的库与 HTML 页面展开通信。 图5：托管  C&C 通信 HTML 页面的 GitHub 账号 看到上述图像，任何恶意软件威胁分析师都会立即将第3行代码识别为潜在的 PlugX 加密特征。开始标记 DZKS 与结束标记 DZJS 在 PlugX 中极具代表性。然而，仔细观察后发现解密算法不同于 PlugX。在此例中，解密过程会为实际的命令与控制（C＆C）服务器提供引用：恶意软件将连接到的 IP 地址与端口号。 Winnti 目前通过使用不同的加密算法将这些 C＆C 信息存储在 Github 文件中。其中之一就是 PlugX 使用的算法。事实上，我们已从分析的 C＆C 字符串中发现了 PlugX 引用，表明该组织也可能在这次特定活动中使用相同后门。虽然我们无法通过那个特定的 GitHub 账号查找到 PlugX 样本，但可以由此推测出一些 PlugX 变种如何在复杂大环境下通过该 GitHub 库获取 C＆C 信息。 本次 GitHub 活动中使用的所有其他算法几乎全部派生自原始的 PlugX 算法： ○ PlugX 类型 +移位字符串 + Base64 ○ PlugX 类型 +移位字符串+ Base64 + XOR ○ PlugX 类型 + Base64 + XOR 其中一种算法还内置了标记字符串+ 移位字符串 + Base64编码。 Winnti 寻踪 网络犯罪分子使用的 GitHub 帐号创建于 2016 年 5 月。他们还曾于 2016 年 6 月通过该账号创建了一个源自另一个 GitHub 通用页面的合法项目/存储库（手机项目）。 Winnti 的 C＆C 通信库创建于 2016 年 8 月。我们推测该 GitHub 帐户未被入侵、确由 Winnti 创建。截至 2017 年 3 月，该库已经包含了创建于不同时间的 14 个不同的 HTML 页面。 活动时间线 我们通过分析 GitHub 中暴露的日期映射 Winnti 开展的活动。对于每个文件，GitHub 存储首次与末次提交时间戳；这使我们能够创建该组织多台 C＆C 服务器首次使用时间表。 我们对 IP 地址连接至 Winnti C＆C 服务器的时间段进行监控，了解到具体行动从下午开始持续至深夜。此份时间表的特征与网络犯罪分子的传统工作时间相似，此类群体都有着较为简单的组织架构、偏好较晚时间开始工作直至深夜。实际上，我们仅观察了在周末开展的一次活动实例（在此期间创建了一个新的 HTML 文件）。 我们追踪到关于此 GitHub 账户的最早活动时间是 2016 年 8 月 17 日，最近一次发生在 2017 年 3 月 12 日。以下是根据监控记录整理出的 C＆C 服务器 IP 地址首次使用时间线： 图6：C&C服务器IP地址时间线 C＆C服务器 Winnti 使用的 GitHub 帐号显示了使用各种端口号的 12 个不同的 IP 地址。发送至这些 C＆C 服务器的所有通信都经由三个不同的端口号：53（DNS）、80（HTTP）和 443（HTTPS）。这些均是 PlugX 和 Winnti 恶意软件变种在被入侵设备与 C＆C 服务器之间进行通信时采用的典型技术。几乎所有 C＆C 服务器都在美国托管，其中两台位于日本。 图 7：用于 C&C 通信的 IP 地址以及相应端口号 我们在此篇文章文发布前向 GitHub 私下透露了本次发现，目前正积极与他们展开合作，共同应对该威胁。 结论 滥用 GitHub 等备受欢迎的平台使 Winnti 等威胁行动者得以在雷达覆盖区域内实现被入侵计算机与服务器之间的网络连通。尽管 Winnti 可能仍在使用传统的恶意软件，通过相对独特的策略在威胁活动曲线上保持领先地位的能力反映出他们在具体行动中采用了更加高深的技术。 被检测为 BKDR64_WINNTI.ONM 的相关哈希值（SHA256）： ○ 06b077e31a6f339c4f3b1f61ba9a6a6ba827afe52ed5bed6a6bf56bf18a279ba — cryptbase.dll ○ 1e63a7186886deea6c4e5c2a329eab76a60be3a65bca1ba9ed6e71f9a46b7e9d – loadperf.dll ○ 7c37ebb96c54d5d8ea232951ccf56cb1d029facdd6b730f80ca2ad566f6c5d9b – loadoerf.ini ○ 9d04ef8708cf030b9688bf3e8287c1790023a76374e43bd332178e212420f9fb — wbemcomn.ini ○ b1a0d0508ee932bbf91625330d2136f33344ed70cb25f7e64be0620d32c4b9e2 — cryptbase.ini ○ e5273b72c853f12b77a11e9c08ae6432fabbb32238ac487af2fb959a6cc26089 — wbemcomn.dll 英文稿源：blog.trendmicro.com，译者：Liuf，校对：BXD、FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。    

Google 一直擅长分享其丰富的信息，包括将其全部捐赠给开源社区。这一次轮到了 E2EMail，一个实验性质的端到端加密系统。E2EMail 由 Google 开发，内置 JavaScript 内部开发的 JavaScript 加密库。它提供了一种通过 Chrome 扩展程序将 OpenPGP 集成到 Gmail 中的方法。消息的明文单独保留在客户端上。 E2EMail 在谷歌当前一个中央密钥服务器上进行测试，根据最近的密钥透明度公告显示，OpenPGP 方式的核心密钥坚实，可扩展，因此这种解决方案，取代了传统上与 PGP 一起使用的有问题的网络信任模型。 E2EMail 代码目前已经上传到 GitHub，每个人都可以访问查看代码。端到端加密被视为所有隐私问题的解决方案，可以避免政府监控，中间人攻击等。即使公司也可以通过尽可能最好地保护他们的通信来保护他们免受工业间谍侵害。 在过去几年中，尤其是在爱德华·斯诺登提供有关美国国家安全局的监听密码之后，越来越多的服务实施了端到端的加密服务，包括像 WhatsApp 和 Signal 这样相当知名的消息应用程序。 电子邮件服务，应用程序和社交网络都已开始关闭其数据流，以帮助用户和保护他们免受监视和网络威胁。话虽如此，端到端加密还没有到达互联网的所有角落。 稿源：cnBeta；封面源自网络

据外媒报道，Troy Hunt 偶然收到一个数据交易中心发送的一份文件，该文件是一个大小约 594MB 名称为 geekedin.net_mirror_20160815.7z 的压缩文件。据称该文件属于 GeekedIn 网站八月份的 MongoDB 数据库备份。 在文件中，作者找到了自己的个人信息，下面是部分文件截图。 作者认为可能是 GitHub 数据泄露，进一步分析，作者发现这些配置信息似乎来自 GitHub 的公开信息，并发现 820 万个不同的电子邮件地址。 作者向 GitHub 反应了该情况并得到回复： 由于种种原因第三方会爬取 GitHub 上的公共数据，比如学术研究，官方允许这种类型的数据采集。但是，绝不容忍将数据用于商业目的。 但很显然 GeekedIn 公司将 GitHub 的用户信息用于商业用途。 稿源：本站翻译整理，封面来源：百度搜索

马克思主义黑客组织 RedHack 上月底发表声明称入侵了土耳其能源部长兼埃尔多安女婿 Berat Albayrak 的个人电邮账号，它以曝光邮件相威胁，要求土耳其政府释放被捕的左翼异议人士。土耳其政府封杀了相关报道，并要求 Twitter 封杀 RedHack 的账号。Twitter 遵守了这一要求。在设定最后期限过后，RedHack 开始公开来自 Albayrak 私人邮件账号的文档，其中包括了利用亲政府水军打压媒体批评的细节。RedHack 公开了多达 17GB 数据，共包括了 57,623 封邮件，日期从 2000 年 4 月至今。为了阻止这些泄密文档的传播，土耳其屏蔽了主要的文件共享网站 Dropbox、Google Drive 和 微软 OneDrive，它甚至还屏蔽了最流行的开源托管平台GitHub。它利用了深度包检测设备拦截了出入境流量，土耳其用户报告收到了SSL 错误信息。 稿源：solidot奇客，封面来源：百度搜索