GitHub ve GitLab gibi güvenilir ve yaygın olarak kullanılan yazılım geliştirme ve işbirliği platformları, giderek artan sayıda kötü amaçlı etkinliğin hem hedefi hem de aracı haline geldi.
Bu eğilimin en son belirtileri arasında, meşru GitHub depolarını içeren bir kötü amaçlı yazılım dağıtım kampanyası ve bu hafta, bir saldırganın herhangi bir GitLab kullanıcısı olarak erişim elde etmesine olanak tanıyan bir güvenlik açığından yararlanma olanağının bulunması yer alıyor.
Bunlardan ilki, saldırganların kötü amaçlı yazılımları uç nokta algılama mekanizmalarından gizlice geçirmeye çalışmak için GitHub gibi platformların güvenilir itibarından nasıl yararlandıklarının bir örneğidir. Bu arada GitLab güvenlik açığı, saldırganların kod depolarına erişmesine, sırları ve verileri sızdırmasına, kodu yazılıma değiştirmesine veya enjekte etmesine ve CI/CD hattını manipüle etmesine olanak tanıyan açıklardan yararlanmalara karşı kuruluşların artan maruziyetini vurguluyor.
Kötü Amaçlı Yazılımları Güvenilir GitHub Depolarında Barındırma
Cofense’deki araştırmacılar bu hafta bir kimlik avı kampanyası bildirdi Bir tehdit aktörünün sigorta ve finans sektörlerindeki hedeflenen kurbanları güvenilir GitHub depolarında barındırılan kötü amaçlı yazılımlara yönlendirmeye çalıştığı yer. Kampanya, saldırganın kurbanlara, siber suçluların ve devlet destekli grupların benzer şekilde çeşitli amaçlarla kullandığı uzaktan erişim Truva Atı Remcos’u içeren şifre korumalı bir arşive bağlantı içeren vergi temalı kimlik avı e-postaları göndermesini içeriyor. siber casusluk Ve veri hırsızlığı saldırıları yıllar geçtikçe.
Cofense’e göre kampanyayı kayda değer kılan şey, tehdit aktörünün Remcos RAT içeren arşiv dosyalarını güvenilir varlıklara ait meşru GitHub depolarına gizlice sokmayı başarmasıdır. Bu tür kuruluşlara örnek olarak Birleşik Krallık’ın ulusal vergi dairesi olan Majestelerinin Gelir ve Gümrükleri (HMRC); Yeni Zelanda’nın muadili InlandRevenue; ve açık kaynaklı bir vergi beyanı platformu olan UsTaxes.
Her durumda saldırgan, Remcos RAT içeren kötü amaçlı bir dosyayı ilgili varlıkların depolarına yüklemek için GitHub yorumlarını kullandı.
Birçok GitHub deposu geliştiricilerin şunları yapmasına olanak tanır: Devam eden ve işbirlikçi yazılım projeleri hakkında yorum yapın. Yorumlar, önerilen kod değişiklikleri, belgeler ve hatalarla ilgili sorunlar, görev oluşturma açıklama talepleri, görev yönetimi ve ilerleme güncellemeleri ve birleştirme çatışması çözümü dahil olmak üzere çok çeşitli konuları kapsayabilir.
Cofense güvenlik araştırmacısı Jacob Malimban bir blog yazısında şöyle yazdı: “GitHub yorumları bir tehdit aktörü için faydalıdır çünkü kötü amaçlı yazılım, bir GitHub deposundaki bir yoruma, söz konusu havuzun kaynak kod dosyalarına yüklenmesine gerek kalmadan eklenebilmektedir.” “Bu, herhangi bir kuruluşun yorumlara izin veren meşru GitHub deposunun, incelenen kodun dışında onaylanmamış dosyalar içerebileceği anlamına gelir.” Malimban, birisinin GitHub yorumları aracılığıyla gönderebileceği onaylanmamış dosyaların, deponun incelenen dosyalarını içeren alt dizinden ayrı bir alt dizinde yer aldığını söyledi. Özellikle rahatsız edici olan şey, yorum silinse bile kötü amaçlı dosyaya giden bağlantının çalışmaya devam etmesidir.
Çoklu Olaylar
Diğer tehdit aktörleri de bu fırsatı fark etti. Yakın zamanda ortaya çıkan bir durum ise Redline Stealer’ın tedarikçisibu yılın başlarında en azını kullanırken fark edilen Microsoft’un kendi GitHub deposu kötü amaçlı yazılım çalan bilgileri barındırmak için. Bu kampanyada, Cofense’in tespit ettiği yeni Remcos RAT saldırılarında olduğu gibi, tehdit aktörü Kötü amaçlı yazılımı yorum olarak yükledim Microsoft’un GitHub vcpkg deposuna.
GitHub gibi alan adlarına bağlantı içeren e-postalar, güvenilir itibarları nedeniyle güvenli e-posta ağ geçitlerini atlatmakta etkilidir. Saldırganlar, kullanıcıları başka sitelere yönlendirmeye gerek kalmadan veya aşağıdaki gibi diğer güvenlik atlama tekniklerini kullanmalarına gerek kalmadan, bu tür alanlardaki kötü amaçlı yazılımlarına doğrudan bağlantı kurabilirler. QR kodlarını taramadedi Cofense.
Yeni Remcos RAT’ın arkasındaki tehdit aktörü kolaylıkla diğer sektörlerdeki kurbanları da hedef almış olabilir. Ancak Malimban, diğerlerine saldırmadan önce GitHub depolarında kötü amaçlı yazılım barındırma stratejisinin ne kadar etkili olduğunu test etmek için muhtemelen kasıtlı olarak odak noktalarını dar tuttuklarını tahmin etti.
Tehdit Aktörlerine İlgi Artıyor
Bu arada, yeni istismar GitLab’ın hedefleri için kritik kimlik doğrulama bypass’ı güvenlik açığı (CVE-2024-45409) etkileyen Ruby-SAML ve OmniAuth-SAML kitaplıkları GitLab’ın SAML tabanlı çoklu oturum açmayı etkinleştirmek için kullandığı. Yararlanma betiği, saldırganlara herhangi bir kullanıcı bağlamında GitLab’a erişmek için güvenlik açığını kötüye kullanmanın bir yolunu sunar. Güvenlik açığı, GitLab Community Edition (CE) ve Enterprise Edition’ın (EE) 16.11.10’un altındaki tüm sürümlerini etkiliyor. Kusur, GitLab’ın birden fazla 17.xx sürümünde de mevcut.
Bu istismar, araştırmacının ve tehdit aktörlerinin GitHub ve GitLab gibi veri havuzlarına ve kullanıcılarına olan ilgisinin arttığının bir başka işareti. Geçen yıl GitHub’daki depoları hedef alan çok sayıda saldırı örneği yaşandı; Şilili siber güvenlik firmasının siber şantajı gibi. CronUp Haziran ayında bildirildi ve kullanımını içeren bir diğeri GitHub’daki hayalet hesaplar kötü amaçlı yazılım dağıtmak için. GitLab kullanıcılarının da CVE-2024-45409 ve diğer iki yeni güvenlik açığı gibi güvenlik sorunlarıyla uğraşmaları gerekiyor (CVE-2024-6385 Ve CVE-2024-5655CI/CD boru hatlarının bütünlüğüne büyük bir tehdit oluşturan.