Hackere bruger upublicerede GitHub- og GitLab-kommentarer til at generere phishing-links, der ser ud til at komme fra legitime open source software-projekter (OSS).
Det smarte trick, som først blev beskrevet af Sergei Frankoff fra Open Analysis i sidste måned, gør det muligt for enhver efterligne ethvert lager, de ønsker uden at ejerne af det pågældende depot ved om det. Og selvom ejerne kender til det, kan de ikke gøre noget for at stoppe det.
Eksempel: Hackere har allerede misbrugt denne metode at fordele Redline Stealer Trojan, ved hjælp af links forbundet med Microsofts GitHub-hostede repos "vcpkg" og "STL", ifølge McAfee. Frankoff opdagede uafhængigt flere sager, der involverede den samme loader, der blev brugt i den kampagne, og Bleeping Computer fandt en yderligere berørt repo, "httprouter."
Ifølge Bleeping Computer, påvirker problemet både GitHub - en platform med mere end 100 millioner registrerede brugere, og dens nærmeste konkurrent, GitLab, med mere end 30 millioner brugere.
Uopdagelige, ustoppelige, troværdige phishing-links
Denne bemærkelsesværdige fejl i GitHub og GitLab ligger muligvis i den mest verdslige funktion, man kan forestille sig.
Udviklere vil ofte efterlade forslag eller rapportere fejl ved at efterlade kommentarer på en OSS-projektside. Nogle gange vil en sådan kommentar involvere en fil: et dokument, et skærmbillede eller andre medier.
Når en fil skal uploades som en del af en kommentar på GitHubs og GitLabs indholdsleveringsnetværk (CDN'er), tildeles kommentaren automatisk en URL. Denne URL er synligt forbundet med det projekt, kommentaren vedrører. På GitLab, for eksempel, får en fil uploadet med en kommentar en URL i følgende format: https://gitlab.com/{project_group_name}/{repo_name}/uploads/{file_id}/{file_name}.
Hvad hackere har fundet ud af er, at dette giver perfekt dækning for deres malware. De kan for eksempel uploade en malware-indlæser til RedLine Stealer til en Microsoft-repo og få et link til gengæld. Selvom det rummer malware, vil det for enhver tilskuer synes at være et legitimt link til en ægte Microsoft-repo-fil.
Men det er ikke alt.
Hvis en angriber sender malware til et repo, ville du regne med, at ejeren af den repo eller GitHub ville opdage det og adressere det.
Det, de kan gøre, er at offentliggøre og derefter hurtigt slette kommentaren. URL'en fortsætter med at fungere, og filen forbliver ikke desto mindre uploadet til webstedets CDN.
Eller endnu bedre: Angriberen kan simpelthen ikke skrive kommentaren til at begynde med. På både GitHub og GitLab genereres et fungerende link automatisk, så snart en fil tilføjes til en igangværende kommentar.
Takket være denne banale særhed kan en angriber uploade malware til enhver GitHub-repo, de ønsker, få et link tilbage forbundet med den repo og blot lade kommentaren være upubliceret. De kan bruge det i phishing-angreb, så længe de vil, mens det efterlignede brand ikke har nogen idé om, at et sådant link blev genereret i første omgang.
Stol ikke på links
Ondsindede webadresser, der er knyttet til legitime repos, giver tillid til phishing-angreb og truer omvendt med at genere og underminere troværdigheden af den efterlignede part.
Hvad værre er: de har ingen udvej. Ifølge Bleeping Computer er der ingen indstilling, der tillader ejere at administrere filer, der er knyttet til deres projekter. De kan midlertidigt deaktivere kommentarer og samtidig forhindre fejlrapportering og samarbejde med fællesskabet, men der er ingen permanent rettelse.
Dark Reading kontaktede både GitHub og GitLab for at spørge, om de planlægger at løse dette problem og hvordan. Sådan reagerede en:
"GitHub er forpligtet til at undersøge rapporterede sikkerhedsproblemer. Vi deaktiverede brugerkonti og indhold i overensstemmelse med GitHubs politikker for acceptable brug, som forbyder at poste indhold, der direkte understøtter ulovlige aktive angreb eller malware-kampagner, der forårsager teknisk skade," sagde en GitHub-repræsentant i en e-mail. "Vi fortsætter med at investere i at forbedre sikkerheden for GitHub og vores brugere og undersøger foranstaltninger til bedre at beskytte mod denne aktivitet. Vi anbefaler brugere at følge instruktionerne fra vedligeholdere om, hvordan man downloader den software, der er officielt udgivet. Vedligeholdere kan bruge GitHub udgivelser eller frigive processer inden for pakke- og softwareregistre for sikkert at distribuere software til deres brugere."
Dark Reading vil opdatere historien, hvis GitLab svarer. I mellemtiden bør brugerne træde let.
"Udviklere, der ser navnet på en betroet leverandør i en GitHub-URL, vil ofte stole på, at det, de klikker på, er sikkert og legitimt," siger Jason Soroko, senior vice president for produkt hos Sectigo. "Der har været mange kommentarer om, hvordan URL-elementer ikke forstås af brugere eller ikke har meget med tillid at gøre. Dette er dog et perfekt eksempel på, at URL'er er vigtige og har kapacitet til at skabe fejlagtig tillid.
"Udviklere er nødt til at genoverveje deres forhold til links forbundet med GitHub eller ethvert andet lager, og investere lidt tid i at granske, ligesom de ville med en e-mail-vedhæftet fil."
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/threat-intelligence/hackers-create-legit-phishing-links-with-ghost-github-gitlab-comments
