Inżynier oprogramowania odkrył około 35 000 złośliwych klonów oficjalnych repozytoriów projektów GitHub. Repozytoria zostały zreplikowane prawie całkowicie, z wyjątkiem jednej rzeczy: klony zostały wzbogacone złośliwym kodem, aby naruszyć niczego nie podejrzewających programistów.
Klonowanie repozytoriów GitHub typu open source jest powszechne wśród programistów. Wstrzykiwanie złośliwego kodu do popularnych klonów projektów może przełamać nowe podstawy cyberataków, ponieważ identyfikacja repozytoriów złośliwego oprogramowania nie jest łatwym zadaniem.
Ujawniony atak złośliwego oprogramowania
Inżynier oprogramowania Stephen Lacy ujawnił wczoraj “masowy powszechny atak złośliwego oprogramowania” na GitHub, który był skierowany do około 35 000 repozytoriów. Tweet wspomniał o popularnych projektach pozornie dotkniętych włamaniem, w tym python, js, docker, k8s, bash, crypto i golang.
Okazuje się jednak, że żaden z wymienionych projektów nie padł ofiarą nowo odkrytego zagrożenia. Sprawcy prawdopodobnie wybrali popularne, legalne projekty do klonowania i wstrzykiwania złośliwego kodu w nadziei na dotarcie do szerokiego grona odbiorców.
Chociaż setki repozytoriów replikowanych w ramach ataku są nieskazitelne, odkrycie nadal ma ogromne znaczenie. Po otrzymaniu powiadomienia od Lacy, GitHub natychmiast usunął większość klonów repo związanych ze złośliwym oprogramowaniem ze swojej platformy i opublikował oświadczenie na Twitterze:
GitHub bada Tweet opublikowany Wed, 3 sierpnia 2022 r.:
Żadne repozytoria nie zostały naruszone
Złośliwy kod został wysłany do sklonowanych repozytoriów, a nie do samych repozytoriów
Klony zostały poddane kwarantannie i nie było wyraźnego naruszenia bezpieczeństwa kont GitHub lub opiekunów
“Ten atak wyśle CAŁY ENV skryptu, aplikacji, laptopa (aplikacji elektronowych) na serwer atakującego” – ostrzega Lacy. “ENV obejmują klucze bezpieczeństwa, klucze dostępu AWS, klucze kryptograficzne i wiele innych” – wyjaśnia inżynier.
Co gorsza, sklonowane repozytoria zawierające szkodliwy kod obsługują również jednowierszowy backdoor zdolny do wstrzykiwania dowolnych powłok do zainfekowanych systemów, według programisty Jamesa Tuckera.
Przeciwdziałanie cyberzagrożeniom
Proponowana przez Lacy strategia łagodzenia tego ataku to zatwierdzanie GPG na GitHub. Chociaż może to brzmieć jak dobry pomysł, opiekun kryptograficzny Go Filippo Valsorda błaga o różnicę.
“To jest coś, co chciałbyś rozwiązać za pomocą podpisów SSH lub gitsign sigstore, a nie wieku” – napisał Valsorda na Twitterze. “Szczerze mówiąc, nie wierzę w podpisywanie zobowiązań, ale to szersza debata. Zwrócę uwagę, że podpisywanie GPG nie powstrzymało tego ataku nawet w repozytoriach, które to robią.”
Najlepsza ochrona przed wszystkimi cyberzagrożeniami w domu lub małej firmie. Bezpieczeństwo Twojej prywatności i anonimowości. Zobacz proponowane oferty od certyfikowanego antywirusowego oprogramowania, kliknij tutaj.
Zapewnij ochronę swojego systemu
Bitdefender Small Office Security
Bitdefender Antywirus Plus