Hackers Create Legit Phishing Links With Ghost GitHub, GitLab Comments

Hackers gebruiken ongepubliceerde GitHub- en GitLab-opmerkingen om phishing-links te genereren die afkomstig lijken te zijn van legitieme open source software (OSS)-projecten.

De slimme truc, die vorige maand voor het eerst werd beschreven door Sergei Frankoff van Open Analysis, maakt het voor iedereen mogelijk zich voordoen als elke gewenste repository zonder dat de eigenaren van die repository hiervan op de hoogte zijn. En zelfs als de eigenaren ervan op de hoogte zijn, kunnen ze niets doen om het te stoppen.

Een voorbeeld: hackers hebben dat gedaan maakte al misbruik van deze methode verdelen de Redline Stealer-trojan, met behulp van koppelingen die zijn gekoppeld aan Microsoft's door GitHub gehoste repository's "vcpkg" en "STL", aldus McAfee. Frankoff ontdekte onafhankelijk meer gevallen waarbij dezelfde lader betrokken was die in die campagne werd gebruikt, en Bleeping Computer vond een extra getroffen repository, "httprouter".

Volgens Bleeping Computerheeft het probleem zowel gevolgen voor GitHub – een platform met meer dan 100 miljoen geregistreerde gebruikers, als voor zijn naaste concurrent, GitLab, met meer dan 30 miljoen gebruikers.

Niet-detecteerbare, niet te stoppen, geloofwaardige phishing-links

Deze opmerkelijke fout in GitHub en GitLab ligt in mogelijk de meest alledaagse functie die je je kunt voorstellen.

Ontwikkelaars laten vaak suggesties achter of rapporteren bugs door commentaar achter te laten op een OSS-projectpagina. Soms heeft zo'n opmerking betrekking op een bestand: een document, een screenshot of andere media.

Wanneer een bestand moet worden geüpload als onderdeel van een opmerking op de content delivery-netwerken (CDN's) van GitHub en GitLab, wordt aan de opmerking automatisch een URL toegewezen. Deze URL is zichtbaar gekoppeld aan het project waarop de opmerking betrekking heeft. Op GitLab krijgt een bestand dat met een opmerking wordt geüpload bijvoorbeeld een URL in het volgende formaat: https://gitlab.com/{project_group_name}/{repo_name}/uploads/{file_id}/{file_name}.

Wat hackers hebben ontdekt, is dat dit een perfecte dekking biedt voor hun malware. Ze kunnen bijvoorbeeld een malware-loader voor de RedLine Stealer uploaden naar een Microsoft-repository en in ruil daarvoor een link krijgen. Hoewel er malware in zit, zal het voor elke toeschouwer een legitieme link lijken naar een echt Microsoft-repositorybestand.

Maar dat is niet alles.

Als een aanvaller malware op een opslagplaats plaatst, zou je verwachten dat de eigenaar van die opslagplaats of GitHub deze zou opmerken en aanpakken.

Wat ze dan kunnen doen, is de reactie publiceren en vervolgens snel verwijderen. De URL blijft werken en het bestand blijft niettemin geüpload naar het CDN van de site.

Of nog beter: de aanvaller kan de opmerking simpelweg niet plaatsen. Op zowel GitHub als GitLab wordt automatisch een werkende link gegenereerd zodra een bestand wordt toegevoegd aan een commentaar dat in behandeling is.

Dankzij deze banale gril kan een aanvaller malware uploaden naar elke gewenste GitHub-opslagplaats, een link terugkrijgen die aan die opslagplaats is gekoppeld en de opmerking eenvoudigweg ongepubliceerd laten. Ze kunnen het zo lang gebruiken bij phishing-aanvallen als ze willen, terwijl het nagebootste merk er geen idee van heeft dat een dergelijke link überhaupt is gegenereerd.

Vertrouw geen links

Kwaadaardige URL's die aan legitieme repo's zijn gekoppeld, verlenen geloofwaardigheid aan phishing-aanvallen en, omgekeerd, dreigen daarmee in verlegenheid brengen en de geloofwaardigheid ondermijnen van de nagebootste partij.

Wat nog erger is: ze hebben geen verhaal. Volgens Bleeping Computer is er geen instelling waarmee eigenaren bestanden kunnen beheren die aan hun projecten zijn gekoppeld. Ze kunnen reacties tijdelijk uitschakelen, waardoor bugrapportage en samenwerking met de community worden voorkomen, maar er is geen permanente oplossing.

Dark Reading nam contact op met zowel GitHub als GitLab om te vragen of ze van plan zijn dit probleem op te lossen en hoe. Hier is hoe iemand reageerde:

“GitHub doet er alles aan om gemelde beveiligingsproblemen te onderzoeken. We hebben gebruikersaccounts en inhoud uitgeschakeld in overeenstemming met GitHub's beleid voor acceptabel gebruik, die het plaatsen van inhoud verbieden die rechtstreeks onwettige actieve aanvallen of malwarecampagnes ondersteunt die technische schade veroorzaken”, zei een vertegenwoordiger van GitHub in een e-mail. “We blijven investeren in het verbeteren van de veiligheid van GitHub en onze gebruikers, en onderzoeken maatregelen om ons beter tegen deze activiteit te beschermen. We raden gebruikers aan de instructies van de beheerders te volgen over het downloaden van de software die officieel is uitgebracht. Beheerders kunnen hiervan gebruik maken GitHub-releases of releaseprocessen binnen pakket- en softwareregisters om software veilig naar hun gebruikers te distribueren.

Dark Reading zal het verhaal bijwerken als GitLab reageert. In de tussentijd moeten gebruikers licht betreden.

“Ontwikkelaars die de naam van een vertrouwde leverancier in een GitHub-URL zien, zullen er vaak op vertrouwen dat waar ze op klikken veilig en legitiem is”, zegt Jason Soroko, senior vice president product bij Sectigo. “Er is veel commentaar geweest over hoe URL-elementen niet door gebruikers worden begrepen, of niet veel met vertrouwen te maken hebben. Dit is echter een perfect voorbeeld van het feit dat URL's belangrijk zijn en het vermogen hebben om verkeerd vertrouwen te creëren.

“Ontwikkelaars moeten hun relatie met links die verband houden met GitHub of een andere repository heroverwegen, en wat tijd besteden aan het onderzoeken, net zoals ze zouden doen met een e-mailbijlage.”

Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
Bron: https://www.darkreading.com/threat-intelligence/hackers-create-legit-phishing-links-with-ghost-github-gitlab-comments

Generatieve data-intelligentie

Hackers creëren legitieme phishing-links met Ghost GitHub en GitLab-opmerkingen

Niet-detecteerbare, niet te stoppen, geloofwaardige phishing-links

Vertrouw geen links

Het BUIDL-fonds van Blackrock haalt Franklin Templeton in en wordt het grootste RWA-tokenized aanbod

Option2Trade en optimisme – Top 3 manieren waarop het de schaalbaarheid van Ethereum gebruikt om het ecosysteem te vergroten

Laatste intelligentie

De opkomst van mobiele mijnbouw: de bètaversie van de X1-app van BlockDAG verandert het spel en daagt de Bitcoin- en Solana-markt uit

Handelen 101 onthuld: uitgebreide tutorials over Forex en… – CryptoInfoNet

Epische Satoshi stimuleert lancering van nieuwe Runes-tokens met een marktkapitalisatie van $88 miljoen

Brian Armstrong, CEO van Coinbase, zegt dat Layer-2-oplossingen veel gebruiksscenario's in de crypto-economie zullen stimuleren - The Daily Hodl

JPMorgan Chase betaalt een boete van $448,000,000 aan Amerikaanse toezichthouders wegens het niet monitoren van miljarden transacties op de mondiale handelsplatformen van de Bank – The Daily Hodl

Indiase politie neemt 268 Bitcoins ter waarde van $17 miljoen in beslag tijdens Crypto Bust

Chat met ons