推特用户@Stephen Lacy发现GitHub上存在大规模的混淆恶意攻击，目前 GitHub上有超过35,000个恶意文件/克隆仓库，包括crypto、golang、python、js、bash、docker、k8s等知名项目。这些恶意文件/克隆仓库会附带一行恶意代码：

这些恶意攻击伪装得非常好，看起来像人畜无害的提交，比如带着“bump version to0.3.11”之类的消息，其中一些被混淆成合法的PR，但其实仓库没有收到任何PR，反而仓库中的每个go文件都被感染了；一些克隆仓库的历史提交记录包括来自原作者的提交，但这些提交未经GPG验证，意味着这是攻击者通过克隆仓库伪装的，除了原作者，恶意软件也可能伪装成其他开发者，但点进去就会发现用户不存在。

目前大部分恶意文件都已被清理，但仍有新的在产生，建议大家使用官方项目存储库中的软件，注意那些恶意仿冒域名的仓库或分支/克隆，并使用GPG签署每个提交。

来源：安全圈