يستخدم المتسللون تعليقات GitHub وGitLab غير المنشورة لإنشاء روابط تصيد تبدو وكأنها تأتي من مشاريع برمجيات مفتوحة المصدر (OSS) شرعية.
إن الحيلة الذكية، التي وصفها لأول مرة سيرجي فرانكوف من شركة Open Analysis الشهر الماضي، تسمح لأي شخص بذلك انتحال شخصية أي مستودع يرغبون فيه دون أن يعلم أصحاب هذا المستودع بذلك. وحتى لو علم أصحابها بالأمر، فلن يتمكنوا من فعل أي شيء لإيقافه.
مثال على ذلك: المتسللين لديهم أساءت بالفعل هذه الطريقة لتوزيع طروادة Redline Stealer، وذلك باستخدام الروابط المرتبطة بمستودعات التخزين المستضافة على GitHub من Microsoft "vcpkg" و"STL"، وفقًا لـ McAfee. اكتشف Frankoff بشكل مستقل المزيد من الحالات التي تتضمن نفس المُحمل المستخدم في تلك الحملة، وعثرت Bleeping Computer على مستودع إضافي متأثر، "httprouter".
وفقا لبليبينج كمبيوترتؤثر المشكلة على كل من GitHub، وهي منصة تضم أكثر من 100 مليون مستخدم مسجل، وأقرب منافس لها، GitLab، الذي يضم أكثر من 30 مليون مستخدم.
روابط تصيد غير قابلة للاكتشاف ولا يمكن إيقافها ويمكن تصديقها
ربما يكمن هذا الخلل الملحوظ في GitHub وGitLab في أكثر الميزات العادية التي يمكن تخيلها.
غالبًا ما يترك المطورون اقتراحات أو يبلغون عن الأخطاء من خلال ترك التعليقات على صفحة مشروع OSS. في بعض الأحيان، سيتضمن هذا التعليق ملفًا: مستند، أو لقطة شاشة، أو وسائط أخرى.
عندما يتم تحميل ملف كجزء من تعليق على شبكات تسليم المحتوى (CDN) الخاصة بـ GitHub وGitLab، يتم تعيين عنوان URL للتعليق تلقائيًا. يرتبط عنوان URL هذا بشكل واضح بأي مشروع يتعلق به التعليق. في GitLab، على سبيل المثال، يحصل الملف الذي تم تحميله مع تعليق على عنوان URL بالتنسيق التالي: https://gitlab.com/{project_group_name}/{repo_name}/uploads/{file_id}/{file_name}.
ما اكتشفه المتسللون هو أن هذا يوفر غطاءً مثاليًا لبرامجهم الضارة. يمكنهم، على سبيل المثال، تحميل أداة تحميل البرامج الضارة لـ RedLine Stealer إلى مستودع Microsoft والحصول على رابط في المقابل. على الرغم من أنه يحتوي على برامج ضارة، إلا أنه سيبدو لأي متفرج وكأنه رابط شرعي لملف Microsoft repo حقيقي.
ولكن هذا ليس كل شيء.
إذا قام أحد المهاجمين بنشر برامج ضارة على أحد مستودعات الريبو، فستجد أن مالك هذا المستودع أو GitHub سيكتشفها ويعالجها.
ما يمكنهم فعله إذن هو نشر التعليق ثم حذفه بسرعة. يستمر عنوان URL في العمل ويظل الملف محمّلاً على شبكة CDN الخاصة بالموقع.
أو الأفضل من ذلك: لا يمكن للمهاجم ببساطة نشر التعليق من البداية. في كل من GitHub وGitLab، يتم إنشاء رابط فعال تلقائيًا بمجرد إضافة ملف إلى تعليق قيد التقدم.
بفضل هذه الميزة المبتذلة، يمكن للمهاجم تحميل برامج ضارة إلى أي مستودع GitHub يرغب فيه، والحصول على رابط مرتبط بهذا المستودع، وببساطة ترك التعليق غير منشور. يمكنهم استخدامه في هجمات التصيد الاحتيالي للمدة التي يريدونها، في حين أن العلامة التجارية المنتحلة لن يكون لديها أي فكرة عن إنشاء أي رابط من هذا القبيل في المقام الأول.
لا تثق بالروابط
تضفي عناوين URL الضارة المرتبطة بعمليات إعادة الشراء المشروعة مصداقية على هجمات التصيد الاحتيالي، وعلى العكس من ذلك، تهدد بذلك إحراج وتقويض المصداقية من الطرف المنتحل .
والأسوأ من ذلك: أنه ليس لديهم خيار. وفقًا لـ Bleeping Computer، لا يوجد إعداد يسمح للمالكين بإدارة الملفات المرفقة بمشاريعهم. يمكنهم تعطيل التعليقات مؤقتًا، وفي نفس الوقت منع الإبلاغ عن الأخطاء والتعاون مع المجتمع، ولكن لا يوجد حل دائم.
تواصلت Dark Reading مع كل من GitHub وGitLab للسؤال عما إذا كانوا يخططون لإصلاح هذه المشكلة وكيف. وإليك كيف رد أحدهم:
"تلتزم GitHub بالتحقيق في المشكلات الأمنية المبلغ عنها. لقد قمنا بتعطيل حسابات المستخدمين والمحتوى وفقًا لـ سياسات الاستخدام المقبول لـ GitHub، التي تحظر نشر محتوى يدعم بشكل مباشر الهجمات النشطة غير القانونية أو حملات البرامج الضارة التي تسبب أضرارًا فنية،" قال ممثل GitHub في رسالة بالبريد الإلكتروني. "نحن نواصل الاستثمار في تحسين أمان GitHub ومستخدمينا، ونبحث في تدابير لتوفير حماية أفضل ضد هذا النشاط. نوصي المستخدمين باتباع الإرشادات المقدمة من المشرفين حول كيفية تنزيل البرنامج الذي تم إصداره رسميًا. يمكن للمشرفين الاستفادة منها إصدارات جيثب أو إطلاق العمليات ضمن سجلات الحزم والبرامج لتوزيع البرامج بشكل آمن على مستخدميها."
ستقوم Dark Reading بتحديث القصة إذا استجاب GitLab. وفي هذه الأثناء، يجب على المستخدمين أن يتحركوا بخفة.
يقول جيسون سوروكو، نائب الرئيس الأول للمنتج في Sectigo: "إن المطورين الذين يرون اسم بائع موثوق به في عنوان URL لـ GitHub سيثقون غالبًا في أن ما ينقرون عليه آمن وشرعي". "كان هناك الكثير من التعليقات حول عدم فهم المستخدمين لعناصر URL، أو عدم ارتباطها بالثقة. ومع ذلك، يعد هذا مثالًا رائعًا على أن عناوين URL مهمة ولديها القدرة على إنشاء ثقة خاطئة.
"يحتاج المطورون إلى إعادة التفكير في علاقتهم بالروابط المرتبطة بـ GitHub، أو أي مستودع آخر، واستثمار بعض الوقت في التدقيق، تمامًا كما يفعلون مع مرفق البريد الإلكتروني."
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/threat-intelligence/hackers-create-legit-phishing-links-with-ghost-github-gitlab-comments
