Generative Datenintelligenz

Cybersicherheit

Hacker erstellen legitime Phishing-Links mit Ghost GitHub, GitLab Comments

Neuauflage von Plato
Neuauflage von Plato

Datum:

Views: 0

Hacker nutzen unveröffentlichte GitHub- und GitLab-Kommentare, um Phishing-Links zu generieren, die scheinbar von legitimen Open-Source-Software-Projekten (OSS) stammen.

Der clevere Trick, den Sergei Frankoff von Open Analysis letzten Monat erstmals beschrieben hat, ermöglicht es jedem sich als beliebiges Repository ausgeben ohne dass die Eigentümer dieses Repositorys davon erfahren. Und selbst wenn die Besitzer davon wissen, können sie nichts dagegen tun.

Ein typisches Beispiel: Hacker haben es getan habe diese Methode bereits missbraucht verteilen der Redline-Stealer-Trojaner, unter Verwendung von Links, die laut McAfee mit den auf GitHub gehosteten Repos „vcpkg“ und „STL“ von Microsoft verknüpft sind. Frankoff entdeckte unabhängig voneinander weitere Fälle, bei denen es um denselben Loader ging, der in dieser Kampagne verwendet wurde, und Bleeping Computer fand ein weiteres betroffenes Repo, „httprouter“.

Laut Bleeping ComputerDas Problem betrifft sowohl GitHub – eine Plattform mit mehr als 100 Millionen registrierten Nutzern – als auch ihren engsten Konkurrenten GitLab mit mehr als 30 Millionen Nutzern.

Dieser bemerkenswerte Fehler in GitHub und GitLab liegt in der möglicherweise banalsten Funktion, die man sich vorstellen kann.

Entwickler hinterlassen häufig Vorschläge oder melden Fehler, indem sie Kommentare auf einer OSS-Projektseite hinterlassen. Manchmal handelt es sich bei einem solchen Kommentar um eine Datei: ein Dokument, einen Screenshot oder ein anderes Medium.

Wenn eine Datei als Teil eines Kommentars auf den Content Delivery Networks (CDNs) von GitHub und GitLab hochgeladen werden soll, wird dem Kommentar automatisch eine URL zugewiesen. Diese URL ist sichtbar mit dem Projekt verknüpft, auf das sich der Kommentar bezieht. Auf GitLab beispielsweise erhält eine mit einem Kommentar hochgeladene Datei eine URL im folgenden Format: https://gitlab.com/{project_group_name}/{repo_name}/uploads/{file_id}/{file_name}.

Hacker haben herausgefunden, dass dies einen perfekten Schutz für ihre Malware bietet. Sie können beispielsweise einen Malware-Loader für den RedLine Stealer in ein Microsoft-Repo hochladen und erhalten im Gegenzug einen Link. Obwohl darin Malware enthalten ist, scheint es für jeden Betrachter ein legitimer Link zu einer echten Microsoft-Repo-Datei zu sein.

Aber das ist nicht alles.

Wenn ein Angreifer Malware in einem Repo postet, gehen Sie davon aus, dass der Besitzer dieses Repos oder GitHub sie erkennt und behebt.

Sie können den Kommentar dann veröffentlichen und dann schnell löschen. Die URL funktioniert weiterhin und die Datei wird trotzdem weiterhin auf das CDN der Website hochgeladen.

Oder noch besser: Der Angreifer darf den Kommentar einfach nicht posten. Sowohl auf GitHub als auch auf GitLab wird automatisch ein funktionierender Link generiert, sobald eine Datei zu einem laufenden Kommentar hinzugefügt wird.

Dank dieser banalen Eigenart kann ein Angreifer Malware auf jedes beliebige GitHub-Repo hochladen, einen mit diesem Repo verknüpften Link zurückerhalten und den Kommentar einfach unveröffentlicht lassen. Sie können ihn so lange bei Phishing-Angriffen verwenden, wie sie möchten, während die imitierte Marke keine Ahnung davon hat, dass ein solcher Link überhaupt erstellt wurde.

Schädliche URLs, die mit legitimen Repos verknüpft sind, verleihen Phishing-Angriffen Glaubwürdigkeit und drohen umgekehrt peinlich machen und die Glaubwürdigkeit untergraben der imitierten Partei.

Was noch schlimmer ist: Sie haben keinen Rückgriff. Laut Bleeping Computer gibt es keine Einstellung, die es Eigentümern ermöglicht, an ihre Projekte angehängte Dateien zu verwalten. Sie können Kommentare vorübergehend deaktivieren und so gleichzeitig die Fehlerberichterstattung und die Zusammenarbeit mit der Community verhindern, eine dauerhafte Lösung gibt es jedoch nicht.

Dark Reading hat sowohl GitHub als auch GitLab kontaktiert und gefragt, ob und wie sie dieses Problem beheben wollen. So hat einer geantwortet:

„GitHub ist bestrebt, gemeldete Sicherheitsprobleme zu untersuchen. Wir haben Benutzerkonten und Inhalte gemäß deaktiviert GitHubs akzeptable Nutzungsrichtlinien, die das Posten von Inhalten verbieten, die rechtswidrige aktive Angriffe oder Malware-Kampagnen, die technischen Schaden verursachen, direkt unterstützen“, sagte ein GitHub-Vertreter in einer E-Mail. „Wir investieren weiterhin in die Verbesserung der Sicherheit von GitHub und unseren Benutzern und prüfen Maßnahmen, um uns besser vor dieser Aktivität zu schützen. Wir empfehlen Benutzern, die Anweisungen der Betreuer zum Herunterladen der offiziell veröffentlichten Software zu befolgen. Betreuer können nutzen GitHub-Veröffentlichungen oder Release-Prozesse innerhalb von Paket- und Software-Registrierungen, um Software sicher an ihre Benutzer zu verteilen.“

Dark Reading aktualisiert die Story, wenn GitLab antwortet. In der Zwischenzeit sollten Benutzer vorsichtig vorgehen.

„Entwickler, die den Namen eines vertrauenswürdigen Anbieters in einer GitHub-URL sehen, vertrauen oft darauf, dass das, worauf sie klicken, sicher und legitim ist“, sagt Jason Soroko, Senior Vice President of Product bei Sectigo. „Es gab viele Kommentare darüber, dass URL-Elemente von Benutzern nicht verstanden werden oder nicht viel mit Vertrauen zu tun haben. Dies ist jedoch ein perfektes Beispiel dafür, dass URLs wichtig sind und falsches Vertrauen schaffen können.

„Entwickler müssen ihre Beziehung zu Links, die mit GitHub oder einem anderen Repository verknüpft sind, überdenken und etwas Zeit in die Prüfung investieren, genau wie sie es bei einem E-Mail-Anhang tun würden.“

spot_img

Neueste Intelligenz

spot_img

Copyright @ 2024 Plato Technologies Inc.

Chat mit uns

Hallo! Wie kann ich dir helfen?