Tehdit aktörleri, uzun zamandır şüphelenmeyen kullanıcıları kötü amaçlı web sitelerini ziyaret etmeye veya tuzaklı yazılım ve paketleri indirmeye kandırmanın bir yolu olarak yazım yanlışı sitelerine girmeyi kullanıyor.
Bu saldırılar genellikle meşru karşılıklarından biraz değiştirilmiş isimlere sahip alan adları veya paketlerin kaydedilmesini içerir (örneğin, goog1e.com ile google.com).
Platformlar genelinde açık kaynaklı depoları hedef alan saldırganlar, yazılım tedarik zinciri saldırılarını PyPI, npm, Maven Central, NuGet, RubyGems ve Crate aracılığıyla başlatmak için yazılım geliştiricilerin yazım hataları yapmasına güveniyor.
Bulut güvenlik firması Orca’nın son bulguları, sürekli entegrasyon ve sürekli teslimat (CI/CD) platformu olan GitHub Actions’ın bile bu tehditten muaf olmadığını gösteriyor.
Güvenlik araştırmacısı Ofir Yakobi, The Hacker News ile paylaştığı raporda, “Geliştiriciler, GitHub Action’larında bir yazım hatası yaparsa ve bu hata bir yazım hatası yapan kişinin eylemiyle eşleşirse, uygulamalar geliştiricinin farkına bile varmadan kötü amaçlı kod çalıştırabilir” dedi.
Saldırı, herkesin geçici bir e-posta hesabıyla bir GitHub hesabı oluşturarak bir GitHub Action yayınlayabilmesi nedeniyle mümkündür. Action’ların bir kullanıcının deposu bağlamında çalıştığı göz önüne alındığında, kötü amaçlı bir action kaynak koduna müdahale etmek, sırları çalmak ve kötü amaçlı yazılım göndermek için kullanılabilir.
Bu tekniğin tek yaptığı, saldırganın popüler veya yaygın olarak kullanılan GitHub Actions’a çok benzeyen isimlerle organizasyonlar ve depolar oluşturmasıdır.
Bir kullanıcı, projesi için bir GitHub eylemi ayarlarken istemeden yazım hataları yaparsa ve bu yanlış yazılmış sürüm saldırgan tarafından daha önce oluşturulmuşsa, kullanıcının iş akışı, amaçlanan eylem yerine kötü amaçlı eylemi çalıştırır.
Yakobi, “Hassas bilgileri sızdıran veya kodu değiştirerek gizli hatalar veya arka kapılar oluşturan, potansiyel olarak tüm gelecekteki yapıları ve dağıtımları etkileyen bir eylem hayal edin” dedi.
“Aslında, tehlikeye atılmış bir eylem, kuruluşunuzdaki diğer depolara kötü amaçlı değişiklikler göndermek için GitHub kimlik bilgilerinizi bile kullanabilir ve bu da hasarı birden fazla projeye yayabilir.”
Orca, GitHub’da yapılan bir aramada, “actions/checkout” yerine “action/checkout” veya “actons/checkout” ifadelerini çağıran 198 dosyanın bulunduğunu ve tüm bu projelerin riske girdiğini söyledi (eksik “s” ve “i”ye dikkat edin).
Bu tür bir yazım hatası saldırısı, tehdit aktörleri için caziptir çünkü düşük maliyetli, yüksek etkili bir saldırıdır ve aynı anda birden fazla alt müşteriyi etkileyen güçlü yazılım tedarik zinciri ihlallerine yol açabilir.
Kullanıcıların, eylemleri ve adlarını iki kez kontrol ederek doğru GitHub kuruluşuna atıfta bulunduklarından emin olmaları, güvenilir kaynaklardan gelen eylemlere bağlı kalmaları ve CI/CD iş akışlarını yazım yanlışı sorunları açısından düzenli olarak taramaları önerilir.
Yakobi, “Bu deney, saldırganların GitHub Actions’da yazım yanlışı yapmasının ne kadar kolay olduğunu ve bu tür saldırıları önlemede dikkatli olmanın ve en iyi uygulamaların önemini ortaya koyuyor” dedi.
“Asıl sorun daha da endişe verici çünkü burada yalnızca genel depolarda neler olduğunu vurguluyoruz. Aynı yazım hatalarının ciddi güvenlik ihlallerine yol açabileceği özel depolar üzerindeki etki ise bilinmiyor.”