Hakkerit käyttävät julkaisemattomia GitHub- ja GitLab-kommentteja luodakseen phishing-linkkejä, jotka näyttävät tulevan laillisista avoimen lähdekoodin ohjelmistoprojekteista (OSS).
Älykäs temppu, jonka Sergei Frankoff kuvaili ensimmäisen kerran Open Analysisistä viime kuussa, sallii kuka tahansa esiintyä haluamansa arkistona ilman että arkiston omistajat tietäisivät siitä. Ja vaikka omistajat tietäisivät siitä, he eivät voi tehdä mitään estääkseen sen.
Esimerkki: Hakkerit ovat on jo käyttänyt tätä menetelmää väärin jakaa Redline Stealer Troijalainen, käyttämällä linkkejä, jotka liittyvät Microsoftin GitHubin isännöimiin repoihin ”vcpkg” ja ”STL”, McAfeen mukaan. Frankoff löysi itsenäisesti lisää tapauksia, joissa oli kyse samassa kampanjassa käytetystä latausohjelmasta, ja Bleeping Computer löysi ylimääräisen vaikutuksen alaisen repon, "httprouter".
Bleeping Computerin mukaan, ongelma koskee sekä GitHubia – alustaa, jolla on yli 100 miljoonaa rekisteröityä käyttäjää, että sen lähimpään kilpailijaan, GitLabiin, jolla on yli 30 miljoonaa käyttäjää.
Tunnistamattomat, pysäyttämättömät, uskottavat tietojenkalastelulinkit
Tämä GitHubin ja GitLabin merkittävä puute piilee mahdollisesti arkipäiväisimmässä kuviteltavissa olevassa ominaisuudessa.
Kehittäjät jättävät usein ehdotuksia tai raportoivat virheistä jättämällä kommentteja OSS-projektisivulle. Joskus tällainen kommentti sisältää tiedoston: asiakirjan, kuvakaappauksen tai muun median.
Kun tiedosto ladataan osana kommenttia GitHubin ja GitLabin sisällönjakeluverkkoihin (CDN), kommentille määritetään automaattisesti URL-osoite. Tämä URL-osoite liittyy näkyvästi mihin tahansa projektiin, jota kommentti koskee. Esimerkiksi GitLabissa kommentilla ladattu tiedosto ansaitsee URL-osoitteen seuraavassa muodossa: https://gitlab.com/{project_group_name}/{repo_name}/uploads/{file_id}/{file_name}.
Hakkerit ovat havainneet, että tämä tarjoaa täydellisen suojan heidän haittaohjelmilleen. He voivat esimerkiksi ladata haittaohjelmien latausohjelman RedLine Stealerille Microsoftin repoon ja saada vastineeksi linkin. Vaikka se sisältää haittaohjelmia, se näyttää jokaiselle katsojalle olevan laillinen linkki todelliseen Microsoftin repotiedostoon.
Mutta se ei ole kaikki.
Jos hyökkääjä lähettää haittaohjelman repoon, luulisi, että repon tai GitHubin omistaja havaitsi sen ja korjaa sen.
He voivat sitten julkaista kommentin ja poistaa sen sitten nopeasti. URL-osoite jatkaa toimintaansa ja tiedosto pysyy silti ladattuina sivuston CDN:ään.
Tai vielä parempi: Hyökkääjä ei voi yksinkertaisesti lähettää kommenttia aluksi. Sekä GitHubissa että GitLabissa toimiva linkki luodaan automaattisesti heti, kun tiedosto lisätään käynnissä olevaan kommenttiin.
Tämän banaalin omituisuuden ansiosta hyökkääjä voi ladata haittaohjelmia mihin tahansa haluamaansa GitHub-varastoon, saada takaisin kyseiseen repoon liittyvän linkin ja jättää kommentin julkaisematta. He voivat käyttää sitä tietojenkalasteluhyökkäyksissä niin kauan kuin haluavat, kun taas toisena esiintyvä tuotemerkki ei tiedä, että tällainen linkki on luotu alun perin.
Älä luota linkkeihin
Haitalliset URL-osoitteet, jotka on sidottu laillisiin repoihin, antavat uskottavuutta tietojenkalasteluhyökkäyksille ja päinvastoin uhkaavat nolata ja heikentää uskottavuutta esiintyneen osapuolen.
Mikä pahinta: heillä ei ole keinoja. Bleeping Computerin mukaan ei ole asetusta, jonka avulla omistajat voivat hallita projekteihinsa liitettyjä tiedostoja. He voivat tilapäisesti poistaa kommentit käytöstä ja samalla estää virheraportoinnin ja yhteistyön yhteisön kanssa, mutta pysyvää korjausta ei ole.
Dark Reading otti yhteyttä sekä GitHubiin että GitLabiin kysyäkseen, aikovatko he korjata tämän ongelman ja miten. Näin yksi vastasi:
"GitHub on sitoutunut tutkimaan ilmoitettuja tietoturvaongelmia. Poistimme käyttäjätilit ja sisällön käytöstä GitHubin hyväksyttävän käytön käytännöt, jotka kieltävät sellaisen sisällön lähettämisen, joka tukee suoraan laitonta aktiivista hyökkäystä tai haittaohjelmakampanjoita, jotka aiheuttavat teknisiä vahinkoja", GitHubin edustaja sanoi sähköpostissa. "Jatkamme investointeja GitHubin ja käyttäjiemme turvallisuuden parantamiseen ja etsimme toimenpiteitä suojautuaksemme paremmin tätä toimintaa vastaan. Suosittelemme käyttäjiä noudattamaan ylläpitäjien antamia ohjeita virallisesti julkaistun ohjelmiston lataamiseen. Ylläpitäjät voivat käyttää GitHubin julkaisut tai vapauttaa prosesseja paketti- ja ohjelmistorekistereissä ohjelmistojen turvallisesti jakamiseksi käyttäjilleen."
Dark Reading päivittää tarinan, jos GitLab vastaa. Sillä välin käyttäjien tulee kulkea kevyesti.
"Kehittäjät, jotka näkevät luotetun toimittajan nimen GitHub-URL-osoitteessa, luottavat usein siihen, että heidän napsauttamansa on turvallista ja laillista", sanoo Jason Soroko, Sectigon tuotejohtaja. ”On ollut paljon kommentteja siitä, että käyttäjät eivät ymmärrä URL-osien elementtejä tai niillä ei ole paljoakaan tekemistä luottamuksen kanssa. Tämä on kuitenkin täydellinen esimerkki siitä, että URL-osoitteet ovat tärkeitä ja niillä on kyky luoda virheellistä luottamusta.
"Kehittäjien on pohdittava uudelleen suhdettaan GitHubiin tai mihin tahansa muuhun tietovarastoon liittyviin linkkeihin ja käytettävä jonkin verran aikaa tarkasteluun, aivan kuten sähköpostin liitetiedoston kanssa."
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/threat-intelligence/hackers-create-legit-phishing-links-with-ghost-github-gitlab-comments
