Peretas menggunakan komentar GitHub dan GitLab yang tidak dipublikasikan untuk menghasilkan tautan phishing yang tampaknya berasal dari proyek perangkat lunak sumber terbuka (OSS) yang sah.

Trik cerdas ini, yang pertama kali dijelaskan oleh Sergei Frankoff dari Open Analysis bulan lalu, memungkinkan siapa pun melakukannya meniru repositori apa pun yang mereka inginkan tanpa pemilik repositori itu mengetahuinya. Dan bahkan jika pemiliknya mengetahui hal tersebut, mereka tidak dapat melakukan apa pun untuk menghentikannya.

Contoh kasus: Peretas punya sudah menyalahgunakan metode ini untuk mendistribusikan Trojan Pencuri Redline, menggunakan tautan yang terkait dengan repo Microsoft yang dihosting GitHub “vcpkg” dan “STL,” menurut McAfee. Frankoff secara independen menemukan lebih banyak kasus yang melibatkan loader yang sama yang digunakan dalam kampanye tersebut, dan Bleeping Computer menemukan repo tambahan yang terpengaruh, “httprouter.”

Menurut Komputer Bleeping, masalah ini memengaruhi GitHub — platform dengan lebih dari 100 juta pengguna terdaftar, dan pesaing terdekatnya, GitLab, dengan lebih dari 30 juta pengguna.

Tautan Phishing yang Tidak Terdeteksi, Tidak Dapat Dihentikan, dan Dapat Dipercaya

Kelemahan luar biasa pada GitHub dan GitLab ini mungkin terletak pada fitur paling biasa yang bisa dibayangkan.

Pengembang sering kali meninggalkan saran atau melaporkan bug dengan meninggalkan komentar di halaman proyek OSS. Terkadang, komentar seperti itu melibatkan file: dokumen, tangkapan layar, atau media lainnya.

Saat file diunggah sebagai bagian dari komentar di jaringan pengiriman konten (CDN) GitHub dan GitLab, komentar tersebut secara otomatis diberi URL. URL ini terlihat terkait dengan proyek apa pun yang terkait dengan komentar tersebut. Di GitLab, misalnya, file yang diunggah dengan komentar menghasilkan URL dalam format berikut: https://gitlab.com/{project_group_name}/{repo_name}/uploads/{file_id}/{file_name}.

Apa yang diketahui oleh para peretas adalah bahwa ini memberikan perlindungan sempurna untuk malware mereka. Misalnya, mereka dapat mengunggah pemuat malware untuk RedLine Stealer ke repo Microsoft, dan mendapatkan tautan sebagai imbalannya. Meskipun berisi malware, bagi siapa pun yang melihatnya, ini akan tampak seperti tautan sah ke file repo Microsoft asli.

Tapi itu belum semuanya.

Jika penyerang memposting malware ke repo, Anda akan mengira bahwa pemilik repo tersebut atau GitHub akan mengenalinya dan mengatasinya.

Apa yang dapat mereka lakukan adalah mempublikasikan dan kemudian dengan cepat menghapus komentar tersebut. URL tetap berfungsi dan file tetap diunggah ke CDN situs.

Atau, lebih baik lagi: Penyerang tidak dapat mengirimkan komentar sejak awal. Di GitHub dan GitLab, tautan yang berfungsi secara otomatis dibuat segera setelah file ditambahkan ke komentar yang sedang berlangsung.

Berkat kekhasan dangkal ini, penyerang dapat mengunggah malware ke repo GitHub mana pun yang mereka inginkan, mendapatkan tautan kembali yang terkait dengan repo tersebut, dan membiarkan komentar tidak dipublikasikan. Mereka dapat menggunakannya dalam serangan phishing selama mereka mau, sementara merek yang ditiru tidak akan tahu bahwa tautan tersebut memang dibuat.

Jangan Percayai Tautan

URL berbahaya yang terkait dengan repositori sah memberikan kemungkinan terjadinya serangan phishing dan, sebaliknya, mengancam mempermalukan dan merusak kredibilitas dari pihak yang ditiru.

Yang lebih buruk lagi: mereka tidak mempunyai jalan lain. Menurut Bleeping Computer, tidak ada pengaturan yang memungkinkan pemilik untuk mengelola file yang dilampirkan ke proyek mereka. Mereka dapat menonaktifkan komentar untuk sementara, sekaligus mencegah pelaporan bug dan kolaborasi dengan komunitas, namun tidak ada perbaikan permanen.

Dark Reading menghubungi GitHub dan GitLab untuk menanyakan apakah mereka berencana memperbaiki masalah ini dan bagaimana caranya. Begini tanggapannya:

“GitHub berkomitmen untuk menyelidiki masalah keamanan yang dilaporkan. Kami menonaktifkan akun pengguna dan konten sesuai dengan Kebijakan Penggunaan GitHub yang Dapat Diterima, yang melarang pengeposan konten yang secara langsung mendukung serangan aktif yang melanggar hukum atau kampanye malware yang menyebabkan kerugian teknis,” kata perwakilan GitHub melalui email. “Kami terus berinvestasi dalam meningkatkan keamanan GitHub dan pengguna kami, dan mencari langkah-langkah untuk memberikan perlindungan yang lebih baik terhadap aktivitas ini. Sebaiknya pengguna mengikuti petunjuk yang diberikan oleh pengelola tentang cara mengunduh perangkat lunak yang dirilis secara resmi. Pengelola dapat memanfaatkan Rilis GitHub atau merilis proses dalam registrasi paket dan perangkat lunak untuk mendistribusikan perangkat lunak secara aman kepada penggunanya.”

Dark Reading akan memperbarui ceritanya jika GitLab merespons. Sementara itu, pengguna harus berhati-hati.

“Pengembang yang melihat nama vendor tepercaya di URL GitHub sering kali percaya bahwa apa yang mereka klik aman dan sah,” kata Jason Soroko, wakil presiden senior produk di Sectigo. “Ada banyak komentar tentang bagaimana elemen URL tidak dipahami oleh pengguna, atau tidak ada hubungannya dengan kepercayaan. Namun, ini adalah contoh sempurna bahwa URL itu penting dan mempunyai kapasitas untuk menciptakan kepercayaan yang salah.

“Pengembang perlu memikirkan kembali hubungan mereka dengan tautan yang terkait dengan GitHub, atau repositori lainnya, dan menginvestasikan waktu untuk menelitinya, seperti yang mungkin mereka lakukan dengan lampiran email.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/threat-intelligence/hackers-create-legit-phishing-links-with-ghost-github-gitlab-comments