Intelligenza generativa dei dati

Cyber ​​Security

Gli hacker creano collegamenti di phishing legittimi con Ghost GitHub, commenti di GitLab

Ripubblicato da Platone
Ripubblicato da Platone

Data:

Visualizzazioni: 0

Gli hacker utilizzano commenti GitHub e GitLab non pubblicati per generare collegamenti di phishing che sembrano provenire da progetti software open source (OSS) legittimi.

Il trucco intelligente, descritto per la prima volta da Sergei Frankoff di Open Analysis il mese scorso, consente a chiunque di farlo impersonare qualsiasi repository che desiderano senza che i proprietari di quel repository lo sappiano. E anche se i proprietari lo sapessero, non potrebbero fare nulla per fermarlo.

Caso in questione: gli hacker hanno già abusato di questo metodo distribuire il trojan Redline Stealer, utilizzando i collegamenti associati ai repository ospitati su GitHub di Microsoft “vcpkg” e “STL”, secondo McAfee. Frankoff ha scoperto in modo indipendente più casi riguardanti lo stesso caricatore utilizzato in quella campagna e Bleeping Computer ha trovato un ulteriore repository interessato, "httprouter".

Secondo Bleeping Computer, il problema riguarda sia GitHub, una piattaforma con oltre 100 milioni di utenti registrati, sia il suo concorrente più vicino, GitLab, con oltre 30 milioni di utenti.

Questo notevole difetto in GitHub e GitLab risiede forse nella caratteristica più banale che si possa immaginare.

Gli sviluppatori spesso lasciano suggerimenti o segnalano bug lasciando commenti su una pagina del progetto OSS. A volte, un commento di questo tipo riguarderà un file: un documento, uno screenshot o altri media.

Quando un file deve essere caricato come parte di un commento sulle reti di distribuzione dei contenuti (CDN) di GitHub e GitLab, al commento viene assegnato automaticamente un URL. Questo URL è visibilmente associato al progetto a cui si riferisce il commento. Su GitLab, ad esempio, un file caricato con un commento guadagna un URL nel seguente formato: https://gitlab.com/{project_group_name}/{repo_name}/uploads/{file_id}/{file_name}.

Ciò che gli hacker hanno capito è che questo fornisce una copertura perfetta per il loro malware. Possono, ad esempio, caricare un caricatore di malware per RedLine Stealer in un repository Microsoft e ottenere in cambio un collegamento. Sebbene contenga malware, a chiunque sembrerà un collegamento legittimo a un vero file repository Microsoft.

Ma non è tutto.

Se un utente malintenzionato pubblica malware in un repository, immagineresti che il proprietario di quel repository o GitHub lo individuerebbe e lo affronterebbe.

Ciò che possono fare, quindi, è pubblicare e poi eliminare rapidamente il commento. L'URL continua a funzionare e il file rimane comunque caricato sul CDN del sito.

O meglio ancora: l’aggressore non può semplicemente pubblicare il commento fin dall’inizio. Sia su GitHub che su GitLab, un collegamento funzionante viene generato automaticamente non appena un file viene aggiunto a un commento in corso.

Grazie a questa banale stranezza, un utente malintenzionato può caricare malware su qualsiasi repository GitHub che desidera, ottenere un collegamento associato a quel repository e semplicemente lasciare il commento non pubblicato. Possono utilizzarlo negli attacchi di phishing per tutto il tempo che desiderano, mentre il marchio impersonato non avrà idea che tale collegamento sia stato generato in primo luogo.

Gli URL dannosi legati a repository legittimi danno credito agli attacchi di phishing e, al contrario, li minacciano mettere in imbarazzo e minarne la credibilità della parte impersonata.

Quel che è peggio: non hanno possibilità di ricorso. Secondo Bleeping Computer, non esiste alcuna impostazione che consenta ai proprietari di gestire i file allegati ai propri progetti. Possono disabilitare temporaneamente i commenti, impedendo allo stesso tempo la segnalazione di bug e la collaborazione con la comunità, ma non esiste una soluzione permanente.

Dark Reading ha contattato sia GitHub che GitLab per chiedere se hanno intenzione di risolvere questo problema e come. Ecco come uno ha risposto:

“GitHub è impegnato a indagare sui problemi di sicurezza segnalati. Abbiamo disabilitato gli account utente e i contenuti in conformità con Politiche di utilizzo accettabile di GitHub, che vietano la pubblicazione di contenuti che supportano direttamente attacchi attivi illegali o campagne malware che causano danni tecnici", ha affermato un rappresentante di GitHub in una e-mail. “Continuiamo a investire nel miglioramento della sicurezza di GitHub e dei nostri utenti e stiamo esaminando misure per proteggerci meglio da questa attività. Raccomandiamo agli utenti di seguire le istruzioni fornite dai manutentori su come scaricare il software rilasciato ufficialmente. I manutentori possono utilizzare Rilasci GitHub o processi di rilascio all’interno dei registri di pacchetti e software per distribuire in modo sicuro il software ai propri utenti”.

Dark Reading aggiornerà la storia se GitLab risponde. Nel frattempo, gli utenti dovrebbero procedere con cautela.

"Gli sviluppatori che vedono il nome di un fornitore affidabile in un URL GitHub spesso avranno fiducia nel fatto che ciò su cui stanno facendo clic sia sicuro e legittimo", afferma Jason Soroko, vicepresidente senior del prodotto presso Sectigo. "Ci sono stati molti commenti su come gli elementi URL non vengono compresi dagli utenti o non hanno molto a che fare con la fiducia. Tuttavia, questo è un perfetto esempio del fatto che gli URL sono importanti e hanno la capacità di creare fiducia errata.

"Gli sviluppatori devono riconsiderare la loro relazione con i collegamenti associati a GitHub, o qualsiasi altro repository, e investire un po' di tempo nell'analisi, proprio come farebbero con un allegato di posta elettronica."

spot_img

L'ultima intelligenza

spot_img

Copyright @ 2024 Plato Technologies Inc.

Parla con noi

Ciao! Come posso aiutarla?