Generatív adatintelligencia

Kiberbiztonság

A hackerek jogos adathalász linkeket hoznak létre a Ghost GitHub és GitLab megjegyzésekkel

Platón újra közzététele
Platón újra közzététele

Találka:

Megtekintések: 0

A hackerek nem publikált GitHub és GitLab megjegyzéseket használnak adathalász hivatkozások létrehozására, amelyek úgy tűnik, legitim nyílt forráskódú szoftverprojektekből (OSS) származnak.

Az okos trükk, amelyet Szergej Frankoff, az Open Analysis munkatársa írt le először a múlt hónapban, bárki számára lehetővé teszi megszemélyesítik az általuk kívánt tárolót anélkül, hogy az adott tár tulajdonosai tudtak volna róla. És még ha a tulajdonosok is tudnak róla, semmit sem tehetnek ennek megakadályozására.

Példa: A hackerek igen már visszaélt ezzel a módszerrel terjeszteni a Redline Stealer trójai, a McAfee szerint a Microsoft GitHub által hosztolt „vcpkg” és „STL” repóihoz társított hivatkozások használatával. Frankoff egymástól függetlenül további eseteket fedezett fel, amelyek ugyanazt a betöltőt tartalmazták, mint a kampányban, a Bleeping Computer pedig egy további érintett repót, a „httproutert”.

A Bleeping Computer szerint, a probléma egyaránt érinti a GitHubot – egy több mint 100 millió regisztrált felhasználóval rendelkező platformot – és a legközelebbi versenytársát, a több mint 30 millió felhasználóval rendelkező GitLabot.

A GitHub és a GitLab e figyelemre méltó hibája az elképzelhető leghétköznapibb funkcióban rejlik.

A fejlesztők gyakran hagynak javaslatokat vagy jelentenek hibákat az OSS projektoldalakon megjegyzésekkel. Néha egy ilyen megjegyzés fájlt tartalmaz: dokumentumot, képernyőképet vagy más adathordozót.

Amikor egy fájlt egy megjegyzés részeként kell feltölteni a GitHub és a GitLab tartalomszolgáltató hálózataira (CDN), a megjegyzéshez automatikusan hozzárendel egy URL-t. Ez az URL láthatóan hozzá van rendelve ahhoz a projekthez, amelyre a megjegyzés vonatkozik. A GitLabon például egy megjegyzéssel feltöltött fájl a következő formátumú URL-t kapja: https://gitlab.com/{project_group_name}/{repo_name}/uploads/{file_id}/{file_name}.

A hackerek rájöttek, hogy ez tökéletes fedezetet nyújt a rosszindulatú programjaik számára. Például feltölthetnek egy rosszindulatú programbetöltőt a RedLine Stealerhez egy Microsoft-tárhelyre, és cserébe kapnak egy linket. Bár rosszindulatú programokat tartalmaz, minden bámészkodó számára legitim hivatkozásnak tűnik egy valódi Microsoft repofájlhoz.

De ez még nem minden.

Ha egy támadó rosszindulatú programokat tesz közzé egy repóba, akkor azt gondolhatja, hogy a repo vagy a GitHub tulajdonosa észreveszi és kezeli.

Amit tehát tehetnek, közzéteszik, majd gyorsan törölhetik a megjegyzést. Az URL továbbra is működik, és a fájl továbbra is feltöltve marad a webhely CDN-jére.

Vagy ami még jobb: A támadó egyszerűen nem teheti közzé a megjegyzést. A GitHubon és a GitLabon egyaránt a rendszer automatikusan létrehoz egy működő hivatkozást, amint egy fájlt hozzáad egy folyamatban lévő megjegyzéshez.

Ennek a banális furcsaságnak köszönhetően a támadó bármely kívánt GitHub-tárhelyre feltölthet rosszindulatú programot, visszakaphatja az adott repóhoz társított linket, és egyszerűen publikálatlanul hagyhatja a megjegyzést. Addig használhatják adathalász támadásokban, ameddig csak akarják, miközben a megszemélyesített márkának fogalma sincs arról, hogy ilyen hivatkozást generáltak.

A törvényes repókhoz kötődő rosszindulatú URL-ek hitelt adnak az adathalász támadásoknak, és ellenkezőleg, zavarba hozni és aláásni a hitelességet a megszemélyesített félé.

Ami még rosszabb: nincs lehetőségük. A Bleeping Computer szerint nincs olyan beállítás, amely lehetővé tenné a tulajdonosok számára, hogy kezeljék a projektjeikhez csatolt fájlokat. Átmenetileg letilthatják a megjegyzéseket, ezzel párhuzamosan megakadályozva a hibajelentést és a közösséggel való együttműködést, de nincs végleges javítás.

A Dark Reading megkereste a GitHubot és a GitLabot is, és megkérdezte, tervezik-e a probléma megoldását, és hogyan. Az egyik így reagált:

„A GitHub elkötelezett a bejelentett biztonsági problémák kivizsgálása mellett. értelmében letiltottuk a felhasználói fiókokat és a tartalmakat A GitHub elfogadható használatára vonatkozó irányelvei, amelyek tiltják olyan tartalmak közzétételét, amelyek közvetlenül támogatják a jogellenes aktív támadásokat vagy a technikai károkat okozó rosszindulatú programkampányokat” – mondta a GitHub képviselője egy e-mailben. „Továbbra is fektetünk a GitHub és felhasználóink ​​biztonságának javításába, és olyan intézkedéseket keresünk, amelyekkel jobban megvédhetjük ezt a tevékenységet. Javasoljuk, hogy a felhasználók kövesse a karbantartók utasításait a hivatalosan kiadott szoftver letöltéséhez. A fenntartók használhatják GitHub kiadások vagy a csomag- és szoftver-nyilvántartásokon belüli folyamatok kiadása, hogy biztonságosan terjeszthessék a szoftvert a felhasználók számára.”

A Dark Reading frissíti a történetet, ha a GitLab válaszol. Eközben a felhasználóknak óvatosan kell lépniük.

„Azok a fejlesztők, akik egy megbízható szállító nevét látják a GitHub URL-ben, gyakran bíznak abban, hogy az, amire kattintanak, biztonságos és jogos” – mondja Jason Soroko, a Sectigo termékért felelős vezető alelnöke. „Sok kommentár érkezett arról, hogy az URL-elemeket a felhasználók nem értik, vagy nincs sok közük a bizalomhoz. Ez azonban tökéletes példa arra, hogy az URL-ek fontosak, és képesek téves bizalmat kelteni.

"A fejlesztőknek újra kell gondolniuk a GitHubhoz vagy bármely más adattárhoz kapcsolódó linkekhez való viszonyukat, és időt kell fordítaniuk az átvizsgálásra, akárcsak az e-mail mellékleteknél."

spot_img

Legújabb intelligencia

spot_img

Copyright @ 2024 Plato Technologies Inc.

Beszélj velünk

Szia! Miben segíthetek?