Хакеры используют неопубликованные комментарии GitHub и GitLab для создания фишинговых ссылок, которые, по-видимому, исходят от законных проектов программного обеспечения с открытым исходным кодом (OSS).
Умный трюк, впервые описанный Сергеем Франковым из Open Analysis в прошлом месяце, позволяет любому выдавать себя за любой репозиторий, который они пожелают без ведома владельцев этого репозитория. И даже если владельцы знают об этом, они ничего не могут сделать, чтобы это остановить.
Показательный пример: хакеры уже злоупотреблял этим методом распростронять троян Redline Stealer, используя ссылки, связанные с репозиториями Microsoft на GitHub «vcpkg» и «STL», согласно McAfee. Франкофф независимо обнаружил еще несколько случаев, связанных с тем же загрузчиком, который использовался в этой кампании, а Bleeping Computer обнаружил еще один затронутый репозиторий «httprouter».
Согласно Bleeping ComputerПроблема затрагивает как GitHub — платформу с более чем 100 миллионами зарегистрированных пользователей, так и ее ближайшего конкурента GitLab с более чем 30 миллионами пользователей.
Необнаружимые, неудержимые и правдоподобные фишинговые ссылки
Этот замечательный недостаток в GitHub и GitLab заключается, возможно, в самой обыденной функции, которую только можно себе представить.
Разработчики часто оставляют предложения или сообщают об ошибках, оставляя комментарии на странице проекта OSS. Иногда такой комментарий может включать файл: документ, снимок экрана или другой носитель.
Когда файл необходимо загрузить как часть комментария в сетях доставки контента (CDN) GitHub и GitLab, комментарию автоматически присваивается URL-адрес. Этот URL-адрес явно связан с проектом, к которому относится комментарий. Например, в GitLab файл, загруженный с комментарием, получает URL-адрес в следующем формате: https://gitlab.com/{project_group_name}/{repo_name}/uploads/{file_id}/{file_name}.
Хакеры выяснили, что это обеспечивает идеальное прикрытие для их вредоносного ПО. Например, они могут загрузить загрузчик вредоносного ПО для RedLine Stealer в репозиторий Microsoft и получить взамен ссылку. Несмотря на то, что в нем содержится вредоносное ПО, любому наблюдателю это покажется законной ссылкой на настоящий репозиторий Microsoft.
Но это не все.
Если злоумышленник разместит вредоносное ПО в репозитории, можно предположить, что владелец этого репозитория или GitHub заметит его и обратится к нему.
Что они могут сделать, так это опубликовать, а затем быстро удалить комментарий. URL-адрес продолжает работать, и, тем не менее, файл остается загруженным в CDN сайта.
Или, что еще лучше: злоумышленник может просто не публиковать комментарий. Как на GitHub, так и на GitLab рабочая ссылка создается автоматически, как только файл добавляется к текущему комментарию.
Благодаря этой банальной хитрости злоумышленник может загрузить вредоносное ПО в любой репозиторий GitHub, получить обратную ссылку, связанную с этим репозиторием, и просто оставить комментарий неопубликованным. Они могут использовать ее в фишинговых атаках столько, сколько захотят, при этом выдаваемый за себя бренд не будет знать, что такая ссылка вообще была создана.
Не верьте ссылкам
Вредоносные URL-адреса, привязанные к законным репозиториям, повышают вероятность фишинговых атак и, наоборот, угрожают опозорить и подорвать доверие олицетворяемой стороны.
Что еще хуже: у них нет выхода. По данным Bleeping Computer, не существует настройки, позволяющей владельцам управлять файлами, прикрепленными к их проектам. Они могут временно отключить комментарии, одновременно предотвращая отчеты об ошибках и сотрудничество с сообществом, но постоянного исправления не существует.
Dark Reading обратилась к GitHub и GitLab, чтобы узнать, планируют ли они исправить эту проблему и как. Вот как один ответил:
«GitHub стремится расследовать сообщения о проблемах безопасности. Мы отключили учетные записи пользователей и контент в соответствии с Политика допустимого использования GitHub, которые запрещают публикацию контента, который напрямую поддерживает незаконные активные атаки или кампании по распространению вредоносного ПО, наносящие технический вред», — сообщил представитель GitHub в электронном письме. «Мы продолжаем инвестировать в улучшение безопасности GitHub и наших пользователей и рассматриваем меры по лучшей защите от этой деятельности. Мы рекомендуем пользователям следовать инструкциям сопровождающих по загрузке официально выпущенного программного обеспечения. Специалисты по сопровождению могут использовать Релизы GitHub или процессы выпуска в реестрах пакетов и программного обеспечения для безопасного распространения программного обеспечения среди пользователей».
Dark Reading обновит историю, если GitLab ответит. В то же время пользователям следует действовать осторожно.
«Разработчики, видя имя доверенного поставщика в URL-адресе GitHub, часто уверены, что то, на что они нажимают, безопасно и законно», — говорит Джейсон Сороко, старший вице-президент по продуктам Sectigo. «Было много комментариев о том, что элементы URL не понимаются пользователями или не имеют особого отношения к доверию. Однако это прекрасный пример того, что URL-адреса важны и могут вызвать ошибочное доверие.
«Разработчикам необходимо переосмыслить свое отношение к ссылкам, связанным с GitHub или любым другим репозиторием, и потратить некоторое время на их тщательное изучение, точно так же, как они могли бы сделать это с вложением электронной почты».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/threat-intelligence/hackers-create-legit-phishing-links-with-ghost-github-gitlab-comments