Atak złośliwego oprogramowania na GitHub

Veronika H

11 sierpnia 2022

Inżynier oprogramowania odkrył około 35 000 złośliwych klonów oficjalnych repozytoriów projektów GitHub. Repozytoria zostały zreplikowane prawie całkowicie, z wyjątkiem jednej rzeczy: klony zostały wzbogacone złośliwym kodem, aby naruszyć niczego nie podejrzewających programistów.

Klonowanie repozytoriów GitHub typu open source jest powszechne wśród programistów. Wstrzykiwanie złośliwego kodu do popularnych klonów projektów może przełamać nowe podstawy cyberataków, ponieważ identyfikacja repozytoriów złośliwego oprogramowania nie jest łatwym zadaniem.

Ujawniony atak złośliwego oprogramowania

Inżynier oprogramowania Stephen Lacy ujawnił wczoraj “masowy powszechny atak złośliwego oprogramowania” na GitHub, który był skierowany do około 35 000 repozytoriów. Tweet wspomniał o popularnych projektach pozornie dotkniętych włamaniem, w tym python, js, docker, k8s, bash, crypto i golang.

Okazuje się jednak, że żaden z wymienionych projektów nie padł ofiarą nowo odkrytego zagrożenia. Sprawcy prawdopodobnie wybrali popularne, legalne projekty do klonowania i wstrzykiwania złośliwego kodu w nadziei na dotarcie do szerokiego grona odbiorców.

Chociaż setki repozytoriów replikowanych w ramach ataku są nieskazitelne, odkrycie nadal ma ogromne znaczenie. Po otrzymaniu powiadomienia od Lacy, GitHub natychmiast usunął większość klonów repo związanych ze złośliwym oprogramowaniem ze swojej platformy i opublikował oświadczenie na Twitterze:

GitHub bada Tweet opublikowany Wed, 3 sierpnia 2022 r.:

Żadne repozytoria nie zostały naruszone

Złośliwy kod został wysłany do sklonowanych repozytoriów, a nie do samych repozytoriów

Klony zostały poddane kwarantannie i nie było wyraźnego naruszenia bezpieczeństwa kont GitHub lub opiekunów

“Ten atak wyśle CAŁY ENV skryptu, aplikacji, laptopa (aplikacji elektronowych) na serwer atakującego” – ostrzega Lacy. “ENV obejmują klucze bezpieczeństwa, klucze dostępu AWS, klucze kryptograficzne i wiele innych” – wyjaśnia inżynier.

Co gorsza, sklonowane repozytoria zawierające szkodliwy kod obsługują również jednowierszowy backdoor zdolny do wstrzykiwania dowolnych powłok do zainfekowanych systemów, według programisty Jamesa Tuckera.

Przeciwdziałanie cyberzagrożeniom

Proponowana przez Lacy strategia łagodzenia tego ataku to zatwierdzanie GPG na GitHub. Chociaż może to brzmieć jak dobry pomysł, opiekun kryptograficzny Go Filippo Valsorda błaga o różnicę.

“To jest coś, co chciałbyś rozwiązać za pomocą podpisów SSH lub gitsign sigstore, a nie wieku” – napisał Valsorda na Twitterze. “Szczerze mówiąc, nie wierzę w podpisywanie zobowiązań, ale to szersza debata. Zwrócę uwagę, że podpisywanie GPG nie powstrzymało tego ataku nawet w repozytoriach, które to robią.”

Najlepsza ochrona przed wszystkimi cyberzagrożeniami w domu lub małej firmie. Bezpieczeństwo Twojej prywatności i anonimowości. Zobacz proponowane oferty od certyfikowanego antywirusowego oprogramowania, kliknij tutaj.