해커들은 게시되지 않은 GitHub 및 GitLab 댓글을 사용하여 합법적인 오픈 소스 소프트웨어(OSS) 프로젝트에서 나온 것처럼 보이는 피싱 링크를 생성하고 있습니다.
지난달 Open Analysis의 Sergei Frankoff가 처음 설명한 영리한 트릭을 사용하면 누구나 다음을 수행할 수 있습니다. 원하는 저장소를 가장합니다. 해당 저장소의 소유자가 이를 알지 못한 채 말이죠. 그리고 소유자가 이에 대해 알고 있더라도 이를 막기 위해 아무것도 할 수 없습니다.
적절한 사례: 해커들은 이미 이 방법을 남용했습니다 배포하다 레드라인 스틸러 트로이목마, McAfee에 따르면 Microsoft의 GitHub 호스팅 저장소 "vcpkg" 및 "STL"과 관련된 링크를 사용합니다. Frankoff는 해당 캠페인에 사용된 동일한 로더와 관련된 더 많은 사례를 독립적으로 발견했으며 Bleeping Computer는 영향을 받은 추가 저장소인 "httprouter"를 발견했습니다.
블리핑 컴퓨터에 따르면, 이 문제는 등록된 사용자가 100억 명 이상인 플랫폼인 GitHub와 사용자가 30천만 명 이상인 가장 가까운 경쟁자인 GitLab 모두에 영향을 미칩니다.
탐지할 수 없고, 막을 수 없으며, 믿을 수 있는 피싱 링크
GitHub와 GitLab의 이 놀라운 결함은 아마도 상상할 수 있는 가장 평범한 기능에 있을 것입니다.
개발자는 OSS 프로젝트 페이지에 의견을 남겨 제안을 남기거나 버그를 보고하는 경우가 많습니다. 때때로 이러한 댓글에는 문서, 스크린샷 또는 기타 미디어와 같은 파일이 포함됩니다.
GitHub 및 GitLab의 콘텐츠 전달 네트워크(CDN)에 댓글의 일부로 파일을 업로드하면 해당 댓글에 자동으로 URL이 할당됩니다. 이 URL은 댓글이 관련된 모든 프로젝트와 시각적으로 연결됩니다. 예를 들어 GitLab에서 댓글과 함께 업로드된 파일은 다음 형식의 URL을 얻습니다. https://gitlab.com/{project_group_name}/{repo_name}/uploads/{file_id}/{file_name}.
해커들이 알아낸 것은 이것이 그들의 악성 코드를 완벽하게 보호해 준다는 것입니다. 예를 들어 RedLine Stealer용 악성 코드 로더를 Microsoft 저장소에 업로드하고 그 대가로 링크를 얻을 수 있습니다. 여기에는 맬웨어가 포함되어 있지만 모든 구경꾼에게는 실제 Microsoft 저장소 파일에 대한 합법적인 링크로 보입니다.
하지만 그건 전부가 아닙니다.
공격자가 저장소에 악성 코드를 게시하면 해당 저장소나 GitHub의 소유자가 이를 발견하고 해결할 것이라고 생각할 수 있습니다.
그러면 그들이 할 수 있는 일은 댓글을 게시한 다음 빠르게 삭제하는 것입니다. 그럼에도 불구하고 URL은 계속 작동하고 파일은 사이트의 CDN에 계속 업로드됩니다.
또는 더 나은 방법은 공격자가 처음부터 댓글을 게시할 수 없다는 것입니다. GitHub와 GitLab 모두 진행 중인 댓글에 파일이 추가되는 즉시 작업 링크가 자동으로 생성됩니다.
이 진부한 특성 덕분에 공격자는 원하는 GitHub 저장소에 악성 코드를 업로드하고 해당 저장소와 연결된 링크를 다시 얻은 다음 댓글을 게시되지 않은 상태로 둘 수 있습니다. 그들은 원하는 기간 동안 이를 피싱 공격에 사용할 수 있지만, 사칭된 브랜드는 그러한 링크가 처음에 생성되었는지 전혀 알 수 없습니다.
링크를 믿지 마세요
합법적인 리포지토리에 연결된 악성 URL은 피싱 공격에 대한 신뢰를 제공하고 반대로 다음과 같은 위협을 가합니다. 당황스럽고 신뢰도를 떨어뜨린다. 사칭된 당사자의.
더 나쁜 것은 그들이 의지할 곳이 없다는 것입니다. Bleeping Computer에 따르면 소유자가 자신의 프로젝트에 첨부된 파일을 관리할 수 있는 설정이 없습니다. 댓글을 일시적으로 비활성화하여 버그 보고 및 커뮤니티와의 공동 작업을 방해할 수 있지만 영구적인 해결 방법은 없습니다.
Dark Reading은 GitHub와 GitLab에 연락하여 이 문제를 해결할 계획인지, 어떻게 해결할 것인지 물었습니다. 한 사람이 응답한 방법은 다음과 같습니다.
“GitHub는 보고된 보안 문제를 조사하기 위해 최선을 다하고 있습니다. 우리는 다음에 따라 사용자 계정과 콘텐츠를 비활성화했습니다. GitHub의 허용 가능한 사용 정책기술적인 피해를 입히는 불법적인 적극적 공격이나 악성 코드 캠페인을 직접적으로 지원하는 콘텐츠 게시를 금지합니다.”라고 GitHub 담당자가 이메일을 통해 밝혔습니다. “우리는 GitHub와 사용자의 보안을 개선하는 데 지속적으로 투자하고 있으며 이러한 활동으로부터 더 잘 보호할 수 있는 조치를 모색하고 있습니다. 공식적으로 출시된 소프트웨어를 다운로드하는 방법에 대해 관리자가 제공한 지침을 따르는 것이 좋습니다. 유지관리자가 활용할 수 있는 GitHub 릴리스 또는 소프트웨어를 사용자에게 안전하게 배포하기 위해 패키지 및 소프트웨어 레지스트리 내에서 프로세스를 릴리스합니다.”
Dark Reading은 GitLab이 응답하면 스토리를 업데이트합니다. 그 동안 사용자는 가볍게 밟아야 합니다.
Sectigo의 제품 담당 수석 부사장인 Jason Soroko는 "GitHub URL에서 신뢰할 수 있는 공급업체의 이름을 보는 개발자는 자신이 클릭하는 내용이 안전하고 합법적이라고 믿는 경우가 많습니다."라고 말합니다. “사용자가 URL 요소를 이해하지 못하거나 신뢰와 아무런 관련이 없는지에 대한 많은 논평이 있었습니다. 그러나 이는 URL이 중요하며 잘못된 신뢰를 생성할 수 있다는 완벽한 예입니다.
"개발자는 GitHub 또는 다른 저장소와 관련된 링크와의 관계를 다시 생각하고 이메일 첨부 파일과 마찬가지로 면밀히 조사하는 데 시간을 투자해야 합니다."
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/threat-intelligence/hackers-create-legit-phishing-links-with-ghost-github-gitlab-comments
