原贴链接

我最近深入研究了一下,克隆了我能找到的所有与nvml api相关的代码库进行审查和学习。我成功地完成了这项工作,并开发了我想要的工具。然而,我想警告大家一些我发现的问题。

我发现了一些包含特洛伊木马二进制文件的仓库,这些主要是针对Linux系统的。基本上,根据我收集到的信息,‘文档’建议使用sudo权限运行安装脚本,然后将二进制文件复制到/usr/bin并执行。

我在打开编辑器之前会扫描我下载的所有内容。在约35个git仓库中发现了各种恶意软件,最常见的是与比特币挖矿相关的。

我只是想花点时间警告那些可能对此还不熟悉的人。在安装之前要知道你安装的是什么。

如果你在谷歌上搜索,你会发现大量的帖子和文章关于这个问题。保持警惕。

讨论总结

本次讨论主要集中在GitHub项目的安全问题上,特别是作者在克隆与nvml api相关的代码库时发现了一些包含特洛伊木马二进制文件的仓库。这些二进制文件主要针对Linux系统,通过建议运行具有sudo权限的安装脚本进行复制和执行。讨论中,评论者提出了公开指出存在问题的仓库和报告给GitHub的建议,同时也强调了在下载和安装任何软件之前进行安全扫描的重要性。新手用户的警惕性和对安装内容的了解也是讨论的重点。

主要观点

  1. 👍 应该公开指出存在问题的GitHub仓库
    • 支持理由:防止更多人受到潜在的安全威胁。
    • 反对声音:可能涉及隐私和法律问题。
  2. 🔥 应该将这些仓库报告给GitHub
    • 正方观点:GitHub需要知道这些安全问题以便采取措施。
    • 反方观点:报告可能不会立即得到处理。
  3. 💡 在下载和安装任何内容之前进行安全扫描
    • 解释:这是保护自己免受恶意软件侵害的重要步骤。
  4. 💡 提醒新手用户在安装前了解清楚安装内容
    • 解释:新手用户需要更多的指导和警惕。
  5. 💡 强调保持警惕,通过搜索引擎查找相关信息
    • 解释:用户应该主动获取信息以避免安全风险。

金句与有趣评论

  1. “😂 Why not call out the repos you found and also report them to Github?”
    • 亮点:直接提出了具体的行动建议。
  2. “🤔 I have an assumption that all GitHub repositories are automatically scanned by antivirus software.”
    • 亮点:揭示了用户对GitHub安全性的误解。
  3. “👀 Is llama.cpp one of them? That’s only what I care about.”
    • 亮点:关注特定项目的用户提问。

情感分析

讨论的总体情感倾向是担忧和警惕,主要分歧点在于是否应该公开指出存在问题的仓库。一些用户认为公开可以提高警惕,而另一些用户担心这可能涉及隐私和法律问题。讨论中也有一些用户对GitHub的安全性存在误解,认为GitHub会自动扫描所有仓库以防止病毒感染。

趋势与预测

  • 新兴话题:用户对特定项目的关注可能会引发更多关于这些项目安全性的讨论。
  • 潜在影响:提高用户对GitHub项目安全性的认识,可能会促使GitHub加强安全措施。