Новости Ваш код уже не защищён: хакеры превратили GitHub в троян

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Если вы видите коммит от GitHub Dependabot, проверьте безопасность кода.


cjmldf0xapalr0wfz6xrdt4p824ov1cq.jpg


Исследователи безопасности Checkmarx Для просмотра ссылки Войди или Зарегистрируйся необычные коммиты в сотнях публичных и частных репозиториев, которые были подделаны так, чтобы казаться коммитами Dependabot . Кампания сосредотачивается на внедрении вредоносного кода в проекты для кражи конфиденциальных данных. Вредоносная кампания длится с июля 2023 года.

Dependabot — это инструмент, предоставляемый GitHub , который автоматически проверяет и обновляет зависимости в проекте, чтобы убедиться, что они безопасны и актуальны. Если Dependabot обнаруживает устаревшую или уязвимую зависимость, он автоматически создает запрос pull request с обновлением зависимости.

В контексте GitHub «вклады» (или «contributions») обычно относятся к любому изменению, добавленному в репозиторий. Сюда входят новый код, исправление ошибок, документация и т.д. В контексте атаки злоумышленники создали коммиты (запросы), которые выглядят так, как будто они были созданы Dependabot, но на самом деле содержат вредоносный код.

Атака началась с того, что хакеры получили личные токены доступа GitHub своих жертв. Как именно токены были украдены, специалистам Checkmarx выяснить не удалось. Исследователи предположили, что киберпреступники использовали автоматизированные скрипты для создания поддельных сообщений о коммитах с заголовком «fix», которые казались бы от учетной записи «dependabot[bot]».


09ivozgh1wy3r7wpp0hcgdv8q0qsrjz1.png


Поддельный коммит Dependabot

Поддельные коммиты внедряют вредоносный код в проект, который выполняет следующие действия:
  1. Извлекает секреты из проекта GitHub и отправляет их на сервер управления и контроля ( C2-сервер ) злоумышленника;
  2. Изменяет существующие файлы JavaScript в затронутом репозитории, добавляя вредоносное ПО, которое крадет пароли из веб-форм и отправляет их на тот же C2-сервер.
Аналитики Checkmarx изучили журналы некоторых жертв и обнаружили, что их аккаунты были скомпрометированы с использованием украденных личных токенов доступа (personal access token, PAT).

Большинство скомпрометированных пользователей – из Индонезии, что указывает на целенаправленность атаки. Однако имеющиеся данные не предоставляют конкретных деталей о мотивах атаки. Для защиты от подобных атак рекомендуется переключиться на Для просмотра ссылки Войди или Зарегистрируйся (fine-grained PAT), которые ограничивают каждого пользователя конкретными разрешениями, тем самым снижая риски в случае компрометации.
 
Источник новости
www.securitylab.ru

Похожие темы