Hakerzy wykorzystują niepublikowane komentarze GitHub i GitLab do generowania linków phishingowych, które wydają się pochodzić z legalnych projektów oprogramowania open source (OSS).
Sprytna sztuczka, opisana po raz pierwszy przez Siergieja Frankoffa z Open Analysis w zeszłym miesiącu, pozwala na to każdemu podszywać się pod dowolne repozytorium bez wiedzy właścicieli tego repozytorium. Nawet jeśli właściciele o tym wiedzą, nie mogą zrobić nic, aby temu zapobiec.
Przykład: hakerzy to zrobili już nadużył tej metody do dystrybucji trojan kradnący RedlineWedług McAfee, korzystając z łączy powiązanych z repozytoriami „vcpkg” i „STL” firmy Microsoft hostowanymi na GitHubie. Frankoff niezależnie odkrył więcej przypadków związanych z tym samym modułem ładującym, którego użyto w tej kampanii, a Bleeping Computer znalazł dodatkowe repozytorium, którego dotyczy problem, „httprouter”.
Według Bleeping Computerproblem dotyczy zarówno GitHuba – platformy z ponad 100 milionami zarejestrowanych użytkowników, jak i jej najbliższego konkurenta, GitLaba, z ponad 30 milionami użytkowników.
Niewykrywalne, nie do zatrzymania, wiarygodne linki phishingowe
Ta niezwykła wada GitHuba i GitLaba wynika z prawdopodobnie najbardziej przyziemnej funkcji, jaką można sobie wyobrazić.
Programiści często zostawiają sugestie lub zgłaszają błędy, zostawiając komentarze na stronie projektu OSS. Czasami taki komentarz będzie dotyczył pliku: dokumentu, zrzutu ekranu lub innego nośnika.
Jeśli plik ma zostać przesłany jako część komentarza do sieci dostarczania treści (CDN) GitHuba i GitLaba, do komentarza zostanie automatycznie przypisany adres URL. Ten adres URL jest w widoczny sposób powiązany z projektem, którego dotyczy komentarz. Na przykład w GitLab plik przesłany z komentarzem otrzymuje adres URL w następującym formacie: https://gitlab.com/{project_group_name}/{repo_name}/uploads/{file_id}/{file_name}.
Hakerzy odkryli, że zapewnia to doskonałą osłonę dla ich szkodliwego oprogramowania. Mogą na przykład załadować program ładujący złośliwe oprogramowanie dla RedLine Stealer do repozytorium Microsoft i otrzymać w zamian link. Chociaż zawiera złośliwe oprogramowanie, dla każdego obserwatora będzie wyglądać na legalny link do prawdziwego pliku repo firmy Microsoft.
Ale to nie wszystko.
Jeśli osoba atakująca opublikuje złośliwe oprogramowanie w repozytorium, można założyć, że właściciel tego repozytorium lub GitHub wykryje je i zaradzi.
Mogą zatem opublikować, a następnie szybko usunąć komentarz. Adres URL nadal działa, a plik pozostaje jednak przesłany do CDN witryny.
Albo jeszcze lepiej: osoba atakująca nie może po prostu opublikować komentarza. Zarówno w GitHubie, jak i GitLabie działający link jest generowany automatycznie, gdy tylko plik zostanie dodany do trwającego komentarza.
Dzięki temu banalnemu dziwactwu osoba atakująca może przesłać złośliwe oprogramowanie do dowolnego repozytorium GitHub, uzyskać link zwrotny powiązany z tym repozytorium i po prostu pozostawić komentarz niepublikowany. Mogą go używać w atakach phishingowych tak długo, jak chcą, a podszywająca się marka nie będzie miała pojęcia, że taki link został w ogóle wygenerowany.
Nie ufaj linkom
Złośliwe adresy URL powiązane z legalnymi repozytoriami uwiarygodniają ataki phishingowe i odwrotnie, grożą zawstydzać i podważać wiarygodność strony podszywanej.
Co gorsza: nie mają innego wyjścia. Według Bleeping Computer nie ma ustawienia umożliwiającego właścicielom zarządzanie plikami dołączonymi do ich projektów. Mogą tymczasowo wyłączyć komentarze, uniemożliwiając jednocześnie zgłaszanie błędów i współpracę ze społecznością, ale nie ma trwałej poprawki.
Dark Reading skontaktowało się zarówno z GitHubem, jak i GitLabem, aby zapytać, czy planują rozwiązać ten problem i w jaki sposób. Oto jak odpowiedział jeden z nich:
„GitHub angażuje się w badanie zgłoszonych problemów związanych z bezpieczeństwem. Wyłączyliśmy konta użytkowników i treści zgodnie z Zasady dopuszczalnego użytkowania GitHuba, które zabraniają publikowania treści bezpośrednio wspierających nielegalne aktywne ataki lub kampanie złośliwego oprogramowania powodujące szkody techniczne” – powiedział przedstawiciel GitHub w e-mailu. „Nadal inwestujemy w poprawę bezpieczeństwa GitHuba i naszych użytkowników i szukamy środków zapewniających lepszą ochronę przed tą aktywnością. Zalecamy, aby użytkownicy postępowali zgodnie z instrukcjami dostarczonymi przez opiekunów, dotyczącymi pobierania oficjalnie wydanego oprogramowania. Konserwatorzy mogą korzystać Wydania GitHuba lub udostępniać procesy w rejestrach pakietów i oprogramowania w celu bezpiecznej dystrybucji oprogramowania wśród użytkowników.
Dark Reading zaktualizuje historię, jeśli GitLab odpowie. W międzyczasie użytkownicy powinni zachować ostrożność.
„Programiści widząc nazwę zaufanego dostawcy w adresie URL GitHub często ufają, że to, co klikają, jest bezpieczne i zgodne z prawem” – mówi Jason Soroko, starszy wiceprezes ds. produktu w Sectigo. „Pojawiło się wiele komentarzy na temat tego, że elementy adresu URL nie są rozumiane przez użytkowników lub nie mają wiele wspólnego z zaufaniem. Jest to jednak doskonały przykład tego, że adresy URL są ważne i mogą powodować błędne zaufanie.
„Programiści muszą ponownie przemyśleć swój związek z linkami powiązanymi z GitHubem lub jakimkolwiek innym repozytorium i poświęcić trochę czasu na ich analizę, tak jak w przypadku załącznika do wiadomości e-mail”.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/threat-intelligence/hackers-create-legit-phishing-links-with-ghost-github-gitlab-comments
