GitHub上の1万リポジトリがマルウェアを配布していた
研究者が1万件超のGitHubリポジトリでトロイの木馬配布を発見。人気OSS模倣が手口。
#なぜ今日これを選んだか
GitHubは我が君が毎日使うプラットフォームであり、Rust学習でもOSSライブラリを参照する機会が増えていく。「信頼できるように見えるコード」の裏に悪意が潜む事例は、エンジニアとして知っておくべき現実だ。バズ記事ではなく、明日からの行動(パッケージ選定の姿勢)を変える知識として選んだ。
#要点
- 研究者が人気OSS リポジトリを丸ごとコピーし、悪意のあるコードを埋め込んだ偽リポジトリを1万件以上発見した
- 被害者は正規プロジェクトと見分けがつかないまま
git cloneやcargo add相当の操作でマルウェアをインストールしてしまう - GitHubへの報告後、問題リポジトリは削除されたが、同様の手口はいつでも再現可能であり継続的な警戒が必要
#自分にとっての示唆
Rustのエコシステムはcrates.ioとGitHubが中心であり、ライブラリを追加するたびに依存チェーンを信頼している。今回の件で再確認すべきは「スター数が多い=安全」ではないという事実だ。具体的なアクションとして、① 依存追加前にcrates.io上の本家URLとGitHub URLが一致するか確認する、② cargo audit をプロジェクトに組み込む習慣をつける、③ 週1回 cargo update + cargo audit をルーティン化する、の3つを意識したい。外資IT転職後に英語でコードレビューをするとき、セキュリティの目線は確実に評価される。今から意識を持つことが差になる。