Intelligence de données générative

Cyber sécurité

Les pirates créent des liens de phishing légitimes avec Ghost GitHub, commentaires GitLab

Réédité par Platon
Réédité par Platon

Date :

Vues: 0

Les pirates utilisent des commentaires GitHub et GitLab non publiés pour générer des liens de phishing qui semblent provenir de projets légitimes de logiciels open source (OSS).

Cette astuce astucieuse, décrite pour la première fois par Sergei Frankoff d'Open Analysis le mois dernier, permet à quiconque de se faire passer pour n'importe quel référentiel de leur choix sans que les propriétaires de ce référentiel ne le sachent. Et même si les propriétaires le savent, ils ne peuvent rien faire pour l’arrêter.

Exemple concret : les pirates ont déjà abusé de cette méthode distribuer le cheval de Troie Redline Stealer, en utilisant des liens associés aux dépôts « vcpkg » et « STL » hébergés sur GitHub de Microsoft, selon McAfee. Frankoff a découvert de manière indépendante d'autres cas impliquant le même chargeur utilisé dans cette campagne, et Bleeping Computer a trouvé un dépôt supplémentaire affecté, « httprouter ».

Selon Bleeping Computer, le problème affecte à la fois GitHub, une plateforme comptant plus de 100 millions d'utilisateurs enregistrés, et son concurrent le plus proche, GitLab, avec plus de 30 millions d'utilisateurs.

Cette faille remarquable dans GitHub et GitLab réside peut-être dans la fonctionnalité la plus banale imaginable.

Les développeurs laissent souvent des suggestions ou signalent des bogues en laissant des commentaires sur une page de projet OSS. Parfois, un tel commentaire concernera un fichier : un document, une capture d’écran ou un autre média.

Lorsqu'un fichier doit être téléchargé dans le cadre d'un commentaire sur les réseaux de diffusion de contenu (CDN) de GitHub et GitLab, une URL est automatiquement attribuée au commentaire. Cette URL est visiblement associée au projet auquel le commentaire se rapporte. Sur GitLab, par exemple, un fichier téléchargé avec un commentaire gagne une URL au format suivant : https://gitlab.com/{project_group_name}/{repo_name}/uploads/{file_id}/{file_name}.

Ce que les pirates ont compris, c’est que cela constitue une couverture parfaite pour leurs logiciels malveillants. Ils peuvent, par exemple, télécharger un chargeur de malware pour RedLine Stealer vers un dépôt Microsoft et obtenir un lien en retour. Bien qu’il héberge des logiciels malveillants, pour tout spectateur, il apparaîtra comme un lien légitime vers un véritable fichier de dépôt Microsoft.

Mais ce n'est pas tout.

Si un attaquant publie un malware dans un dépôt, on pourrait penser que le propriétaire de ce dépôt ou de GitHub le repérerait et y remédierait.

Ce qu’ils peuvent alors faire, c’est publier puis supprimer rapidement le commentaire. L'URL continue de fonctionner et le fichier reste néanmoins téléchargé sur le CDN du site.

Ou, mieux encore : l’attaquant ne peut tout simplement pas publier le commentaire. Sur GitHub et GitLab, un lien de travail est automatiquement généré dès qu'un fichier est ajouté à un commentaire en cours.

Grâce à cette bizarrerie banale, un attaquant peut télécharger un malware sur n'importe quel dépôt GitHub de son choix, obtenir un lien associé à ce dépôt et simplement laisser le commentaire non publié. Ils peuvent l'utiliser dans des attaques de phishing aussi longtemps qu'ils le souhaitent, tandis que la marque usurpée n'aura aucune idée qu'un tel lien a été généré en premier lieu.

Les URL malveillantes liées à des dépôts légitimes donnent du crédit aux attaques de phishing et, à l'inverse, menacent de embarrasser et miner la crédibilité de la partie usurpée.

Pire encore : ils n’ont aucun recours. Selon Bleeping Computer, aucun paramètre ne permet aux propriétaires de gérer les fichiers joints à leurs projets. Ils peuvent désactiver temporairement les commentaires, empêchant ainsi le rapport de bugs et la collaboration avec la communauté, mais il n'existe pas de solution permanente.

Dark Reading a contacté GitHub et GitLab pour leur demander s'ils envisageaient de résoudre ce problème et comment. Voici comment on a répondu :

« GitHub s'engage à enquêter sur les problèmes de sécurité signalés. Nous avons désactivé les comptes d'utilisateurs et le contenu conformément à Politiques d'utilisation acceptable de GitHub, qui interdisent la publication de contenu soutenant directement des attaques actives illégales ou des campagnes de logiciels malveillants causant des dommages techniques », a déclaré un représentant de GitHub dans un e-mail. « Nous continuons d'investir dans l'amélioration de la sécurité de GitHub et de nos utilisateurs, et étudions des mesures pour mieux nous protéger contre cette activité. Nous recommandons aux utilisateurs de suivre les instructions fournies par les responsables pour télécharger le logiciel officiellement publié. Les responsables peuvent utiliser Versions de GitHub ou des processus de publication au sein des registres de packages et de logiciels pour distribuer en toute sécurité des logiciels à leurs utilisateurs.

Dark Reading mettra à jour l'histoire si GitLab répond. En attendant, les utilisateurs doivent faire preuve de prudence.

« Les développeurs qui voient le nom d'un fournisseur de confiance dans une URL GitHub auront souvent confiance que ce sur quoi ils cliquent est sûr et légitime », explique Jason Soroko, vice-président senior des produits chez Sectigo. « Il y a eu de nombreux commentaires sur le fait que les éléments d'URL ne sont pas compris par les utilisateurs ou n'ont pas grand-chose à voir avec la confiance. Cependant, c’est un parfait exemple de l’importance des URL et de leur capacité à créer une confiance erronée.

"Les développeurs doivent repenser leur relation avec les liens associés à GitHub ou à tout autre référentiel, et investir du temps à les examiner, tout comme ils le feraient avec une pièce jointe à un e-mail."

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.

Discutez avec nous

Salut! Comment puis-je t'aider?