生成的データ インテリジェンス

サイバーセキュリティ

ハッカーが Ghost GitHub、GitLab コメントを使用して合法的なフィッシング リンクを作成

プラトンによって再発行
プラトンによって再発行

日付:

閲覧数: 0

ハッカーは、未公開の GitHub および GitLab コメントを使用して、正規のオープン ソース ソフトウェア (OSS) プロジェクトからのものであるかのように見えるフィッシング リンクを生成しています。

Open Analysis の Sergei Frankoff によって先月初めて説明されたこの巧妙なトリックにより、誰でも 任意のリポジトリになりすます そのリポジトリの所有者がそれを知らないうちに。そして、たとえ所有者がそれを知っていたとしても、それを止めることはできません。

好例: ハッカーは すでにこの方法を悪用しています 配布する Redline Stealer トロイの木馬マカフィーによると、MicrosoftのGitHubでホストされているリポジトリ「vcpkg」と「STL」に関連付けられたリンクを使用しているという。 Frankoff は、そのキャンペーンで使用されたのと同じローダーが関係するさらに多くのケースを独自に発見し、Bleeping Computer は追加の影響を受けるリポジトリ「httprouter」を発見しました。

ブリーピングコンピュータによると、この問題は、100 億人以上の登録ユーザーを抱えるプラットフォームである GitHub と、30 万人以上のユーザーを抱える最も近い競合企業である GitLab の両方に影響します。

GitHub と GitLab のこの注目すべき欠陥は、おそらく想像できる最もありふれた機能にあります。

開発者は、OSS プロジェクト ページにコメントを残して提案を残したり、バグを報告したりすることがよくあります。場合によっては、そのようなコメントには、ドキュメント、スクリーンショット、またはその他のメディアなどのファイルが含まれることがあります。

ファイルが GitHub および GitLab のコンテンツ配信ネットワーク (CDN) にコメントの一部としてアップロードされる場合、コメントには URL が自動的に割り当てられます。この URL は、コメントが関係するプロジェクトに明らかに関連付けられています。たとえば、GitLab では、コメント付きでアップロードされたファイルは次の形式の URL を取得します。 https://gitlab.com/{project_group_name}/{repo_name}/uploads/{file_id}/{file_name}.

ハッカーは、これがマルウェアを完全にカバーできることを発見しました。たとえば、RedLine Stealer のマルウェア ローダーを Microsoft リポジトリにアップロードし、代わりにリンクを取得できます。マルウェアが含まれていますが、誰が見ても、それは本物の Microsoft リポジトリ ファイルへの正規のリンクであるように見えます。

しかし、それだけではありません。

攻撃者がマルウェアをリポジトリに投稿した場合、そのリポジトリまたは GitHub の所有者がマルウェアを見つけて対処すると考えられます。

そこで彼らにできることは、コメントを公開してすぐに削除することです。それでも、URL は引き続き機能し、ファイルはサイトの CDN にアップロードされたままになります。

さらに良いのは、攻撃者はそもそもコメントを投稿できないということです。 GitHub と GitLab の両方で、進行中のコメントにファイルが追加されるとすぐに、作業リンクが自動的に生成されます。

この平凡な癖のおかげで、攻撃者はマルウェアを任意の GitHub リポジトリにアップロードし、そのリポジトリに関連付けられたリンクを取得し、コメントを非公開のままにすることができます。なりすましたブランドは、そもそもそのようなリンクが生成されたことを知りませんが、フィッシング攻撃に好きなだけ使用できます。

正規のリポジトリに関連付けられた悪意のある URL は、フィッシング攻撃の信憑性を高め、逆に、 恥をかかせ、信頼を損なう なりすました当事者の。

さらに悪いことに、彼らには頼る手段がないのです。 Bleeping Computer によると、所有者がプロジェクトに添付されたファイルを管理できる設定はありません。コメントを一時的に無効にして、バグ報告やコミュニティとの協力を妨げることはできますが、恒久的な修正はありません。

Dark Reading は GitHub と GitLab の両方に連絡を取り、この問題を修正する予定があるかどうか、またその方法を尋ねました。ある人はこう答えました。

「GitHub は報告されたセキュリティ問題の調査に取り組んでいます。に従ってユーザーアカウントとコンテンツを無効にしました GitHub の利用規約技術的な損害を引き起こす違法なアクティブな攻撃やマルウェアキャンペーンを直接支援するコンテンツの投稿を禁止している」とGitHubの担当者は電子メールで述べた。 「私たちは GitHub とユーザーのセキュリティを向上させるための投資を継続しており、このアクティビティに対する保護を強化するための対策を検討しています。正式にリリースされたソフトウェアをダウンロードする方法については、管理者が提供する指示に従うことをお勧めします。メンテナが利用できるのは、 GitHub リリース または、ソフトウェアをユーザーに安全に配布するために、パッケージおよびソフトウェア レジストリ内でプロセスをリリースします。」

GitLab が応答した場合、Dark Reading はストーリーを更新します。それまでの間、ユーザーは慎重に行動する必要があります。

「GitHub URL で信頼できるベンダーの名前を見た開発者は、自分がクリックしているものが安全で正当なものであると信頼することがよくあります」と Sectigo の製品担当シニア バイス プレジデントの Jason Soroko 氏は述べています。 「URL 要素がユーザーに理解されない、あるいは信頼とあまり関係がないという意見は数多くあります。ただし、これは URL が重要であり、誤った信頼を生み出す可能性があることを示す完璧な例です。

「開発者は、GitHub やその他のリポジトリに関連付けられたリンクとの関係を再考し、電子メールの添付ファイルの場合と同様に、時間をかけて精査する必要があります。」

スポット画像

最新のインテリジェンス

スポット画像

著作権 @ 2024 Plato Technologies Inc.

私たちとチャット

やあ! どんな御用でしょうか?