Trí thông minh dữ liệu tạo

An ninh mạng

Tin tặc tạo liên kết lừa đảo hợp pháp với Ghost GitHub, GitLab

Tái bản bởi Plato
Tái bản bởi Plato

Ngày:

Lượt xem: 0

Tin tặc đang sử dụng các nhận xét GitHub và GitLab chưa được công bố để tạo ra các liên kết lừa đảo có vẻ như đến từ các dự án phần mềm nguồn mở (OSS) hợp pháp.

Thủ thuật thông minh này được Sergei Frankoff của Open Analysis mô tả lần đầu tiên vào tháng trước, cho phép bất cứ ai mạo danh bất kỳ kho lưu trữ nào họ muốn mà chủ sở hữu kho lưu trữ đó không biết về nó. Và ngay cả khi chủ sở hữu biết về nó, họ cũng không thể làm gì để ngăn chặn nó.

Trường hợp cụ thể: Tin tặc có đã lạm dụng phương pháp này để phân phối Trojan đánh cắp Redline, sử dụng các liên kết được liên kết với các kho lưu trữ “vcpkg” và “STL” được lưu trữ trên GitHub của Microsoft, theo McAfee. Frankoff đã độc lập phát hiện ra nhiều trường hợp hơn liên quan đến cùng một trình tải được sử dụng trong chiến dịch đó và Bleeping Computer đã tìm thấy một kho lưu trữ bổ sung bị ảnh hưởng, “httprouter”.

Theo Bleeping Computer, vấn đề này ảnh hưởng đến cả GitHub – một nền tảng có hơn 100 triệu người dùng đã đăng ký và đối thủ cạnh tranh gần nhất của nó, GitLab, với hơn 30 triệu người dùng.

Lỗ hổng đáng chú ý này trong GitHub và GitLab nằm ở tính năng trần tục nhất có thể tưởng tượng được.

Các nhà phát triển thường sẽ để lại đề xuất hoặc báo cáo lỗi bằng cách để lại nhận xét trên trang dự án OSS. Đôi khi, nhận xét như vậy sẽ liên quan đến một tệp: tài liệu, ảnh chụp màn hình hoặc phương tiện khác.

Khi một tệp được tải lên như một phần của nhận xét trên mạng phân phối nội dung (CDN) của GitHub và GitLab, nhận xét đó sẽ tự động được gán một URL. URL này được liên kết rõ ràng với bất kỳ dự án nào mà nhận xét liên quan đến. Ví dụ: trên GitLab, một tệp được tải lên có nhận xét sẽ nhận được URL ở định dạng sau: https://gitlab.com/{project_group_name}/{repo_name}/uploads/{file_id}/{file_name}.

Điều mà tin tặc đã phát hiện ra là điều này cung cấp vỏ bọc hoàn hảo cho phần mềm độc hại của chúng. Ví dụ: họ có thể tải trình tải phần mềm độc hại cho RedLine Stealer lên kho lưu trữ của Microsoft và nhận lại liên kết. Mặc dù nó chứa phần mềm độc hại nhưng đối với bất kỳ người xem nào, nó sẽ có vẻ là một liên kết hợp pháp đến tệp kho lưu trữ thực sự của Microsoft.

Nhưng đó không phải là tất cả.

Nếu kẻ tấn công đăng phần mềm độc hại lên một kho lưu trữ, bạn sẽ nghĩ rằng chủ sở hữu của kho lưu trữ đó hoặc GitHub sẽ phát hiện ra nó và xử lý nó.

Sau đó, những gì họ có thể làm là xuất bản và sau đó nhanh chóng xóa nhận xét. Tuy nhiên, URL vẫn tiếp tục hoạt động và tệp vẫn được tải lên CDN của trang web.

Hoặc thậm chí tốt hơn: Kẻ tấn công không thể đăng bình luận ngay từ đầu. Trên cả GitHub và GitLab, một liên kết hoạt động được tạo tự động ngay khi tệp được thêm vào nhận xét đang được xử lý.

Nhờ thủ thuật tầm thường này, kẻ tấn công có thể tải phần mềm độc hại lên bất kỳ kho lưu trữ GitHub nào mà chúng muốn, lấy lại liên kết được liên kết với kho lưu trữ đó và chỉ cần để lại nhận xét chưa được xuất bản. Họ có thể sử dụng nó trong các cuộc tấn công lừa đảo bao lâu tùy thích, trong khi thương hiệu mạo danh sẽ không biết rằng ngay từ đầu bất kỳ liên kết nào như vậy đã được tạo ra.

Các URL độc hại gắn liền với các kho lưu trữ hợp pháp tạo thêm độ tin cậy cho các cuộc tấn công lừa đảo và ngược lại, đe dọa làm xấu hổ và làm giảm uy tín của bên bị mạo danh.

Điều tồi tệ hơn là họ không có quyền truy đòi. Theo Bleeping Computer, không có cài đặt nào cho phép chủ sở hữu quản lý các tệp đính kèm với dự án của họ. Họ có thể tạm thời vô hiệu hóa bình luận, đồng thời ngăn chặn việc báo lỗi và cộng tác với cộng đồng, nhưng không có cách khắc phục vĩnh viễn.

Dark Reading đã liên hệ với cả GitHub và GitLab để hỏi xem họ có kế hoạch khắc phục sự cố này không và bằng cách nào. Đây là cách một người trả lời:

“GitHub cam kết điều tra các vấn đề bảo mật được báo cáo. Chúng tôi đã vô hiệu hóa tài khoản người dùng và nội dung theo Chính sách sử dụng được chấp nhận của GitHub, cấm đăng nội dung trực tiếp hỗ trợ các chiến dịch tấn công bất hợp pháp hoặc phần mềm độc hại đang gây ra tác hại về mặt kỹ thuật”, đại diện GitHub cho biết trong email. “Chúng tôi tiếp tục đầu tư vào việc cải thiện tính bảo mật của GitHub và người dùng của mình, đồng thời đang xem xét các biện pháp để bảo vệ tốt hơn trước hoạt động này. Chúng tôi khuyên người dùng nên làm theo hướng dẫn do nhà bảo trì cung cấp về cách tải xuống phần mềm được phát hành chính thức. Người bảo trì có thể sử dụng Bản phát hành GitHub hoặc phát hành các quy trình trong gói và cơ quan đăng ký phần mềm để phân phối phần mềm một cách an toàn cho người dùng của họ.”

Dark Reading sẽ cập nhật câu chuyện nếu GitLab phản hồi. Trong khi đó, người dùng nên bước đi nhẹ nhàng.

Jason Soroko, phó chủ tịch cấp cao về sản phẩm tại Sectigo cho biết: “Các nhà phát triển nhìn thấy tên của một nhà cung cấp đáng tin cậy trong URL GitHub thường sẽ tin tưởng rằng những gì họ đang nhấp vào là an toàn và hợp pháp”. “Đã có rất nhiều bình luận về việc người dùng không hiểu được các thành phần URL hoặc không liên quan nhiều đến độ tin cậy. Tuy nhiên, đây là một ví dụ hoàn hảo cho thấy URL rất quan trọng và có khả năng tạo ra sự tin tưởng nhầm lẫn.

“Các nhà phát triển cần suy nghĩ lại về mối quan hệ của họ với các liên kết được liên kết với GitHub hoặc bất kỳ kho lưu trữ nào khác và đầu tư thời gian để xem xét kỹ lưỡng, giống như cách họ làm với tệp đính kèm email”.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.

Trò chuyện trực tiếp với chúng tôi (chat)

Chào bạn! Làm thế nào để tôi giúp bạn?