Siber saldırganlar, yalnızca son birkaç ayda GitHub'da 100.000'den fazla (bazı tahminlere göre bir milyondan fazla) kötü amaçlı taklit depo kaydetti.
“Repo karışıklığı” şeması basittir: Geliştiricilerin yanlış olanı indirmesini umarak programlı olarak kopyalamak, Truva atı oluşturmak ve mevcut depoları yeniden yüklemek.
GitHub'ın otomatik güvenlik mekanizmaları bu ucuz sahte ürünlerin çoğunu tespit edip kaldırıyor gibi görünüyor, ancak yeni bilgilere göre Apiiro'dan araştırmahala çatlaklardan pek çok şey sızıyor.
Depo Karışıklığı Saldırısının Anatomisi
Repo karışıklığı tıpkı şu şekilde çalışır paket yöneticilerinde bağımlılık karışıklığıfarkında olmadan geliştiricileri aslında istedikleri kodun neredeyse aynı kopyalarını indirmeleri için kandırıyor ve kötü amaçlı yazılımların sessizce bir bonus olarak eklenmesini sağlıyor.
Bu kötü amaçlı yazılım, sırayla yazılım projelerine dahil edilir ve alt tedarik zinciri riskleri.
Bu son kampanyanın başarısının anahtarı otomasyondur. Saldırgan, depoları otomatik olarak geniş ölçekte klonluyor, etkiliyor ve yeniden yüklüyor; bu da araştırmacıların toplamda milyonlarca depo olduğunu tahmin ettiği sayıyı zorluyor. Otomasyon süreci, meşruiyet sağlamak için bu projeleri binlerce kez ayrı ayrı dağıtıyor ve bunları çeşitli Web forumlarında ve uygulamalarda tanıtıyor.
Dolayısıyla, uykusuz kalan veya çoklu görev yapan geliştiriciler, orijinal yerine taklitçiyi çatalladığında, onlara diğer kötü amaçlı işlevlerin yanı sıra çeşitli uygulamalardan, tarayıcı çerezlerinden ve diğer verilerden kimlik bilgileri toplayan BlackCap Grabber'ın oldukça karmaşık bir kopyası sunulacak. .
GitHub ise bu kötü amaçlı depoların çoğunu yayınlandıktan birkaç saat sonra kaldırıyor.
“Ancak otomasyon tespiti birçok repoyu kaçırıyor gibi görünüyor ve manuel olarak yüklenenler hayatta kalıyor. Saldırı zincirinin tamamı çoğunlukla büyük ölçekte otomatikleştirilmiş gibi göründüğünden, hayatta kalan %1'lik kısım hala binlerce kötü niyetli repoyu oluşturuyor.” Apiiro bunu blog yazısında açıkladı.
GitHub sözcüsü, kuruluşun kötü amaçlı kodu çıkarmaya çalıştığını söyledi. “GitHub, 420 milyondan fazla veri havuzunda 100 milyondan fazla geliştiriciye ev sahipliği yapıyor ve geliştiriciler için emniyetli ve emniyetli bir platform sağlamaya kendini adamıştır. Kabul Edilebilir Kullanım Politikalarımızı ihlal eden içerik ve hesapları tespit etmeye, analiz etmeye ve kaldırmaya adanmış ekiplerimiz var. Manuel incelemeler kullanıyoruz ve makine öğrenimini kullanan ve sürekli olarak gelişen ve rakip taktiklere uyum sağlayan ölçekli tespitler.” sözcü bir açıklamada bulundu. “Ayrıca müşterilerimizi ve topluluk üyelerimizi kötüye kullanım ve spam'i bildirmeye teşvik ediyoruz.”
GitHub Neden Karışıklık Saldırıları İçin Kullanılıyor?
GitHub doğası gereği kafa karışıklığı saldırılarına karşı belirli avantajlar sunar. “GitHub ve benzerlerinde hesapların ve depoların otomatik olarak oluşturulmasının kolaylığı, rahat API'ler ve atlanması kolay yumuşak oran limitleri kullanılması, aralarında saklanacak çok sayıda depo ile birleştiğinde, onu yazılım tedarikine gizlice bulaşmak için mükemmel bir hedef haline getiriyor zincir,” diye yazdı Apiiro.
Resecurity'in operasyon sorumlusu Shawn Loveland iki ek soruna dikkat çekiyor. Loveland, “Biri gizlilik ile güvenlik arasında bir denge: GitHub depolara bakmıyor, ancak suçlular bunlardan yararlanabilir” diyor. “Diğeri ise ele geçirilen çok sayıda GitHub hesabıdır, bu da kötü aktörlerin özel depolara girmesine ve ardından gidip kopyalar oluşturmasına olanak tanır.”
Siber suçlular, bu ekstra erişime gerek kalmadan halka açık depoları da kopyalayabilir.
Loveland, “Az önce veri tabanımıza baktım” diyor. “Son 90 gün içinde GitHub'a giriş yapan neredeyse 100.000 kullanıcının bilgisayarına kötü amaçlı yazılım bulaştı.”
Kuruluşlar kendilerini kötü niyetli bir GitHub deposunun hem doğrudan hem de aşağı yönlü etkilerinden nasıl koruyabilir? “Şirketlerin GitHub'u kullanma konusunda bir politikası olması gerekiyor [that is] Kendileri GitHub'u kullanmasalar bile çalışanları ve tedarikçileriyle iletişim kurabiliyorlar” diye öneriyor çünkü üçüncü taraf kodlarla doğrudan etkileşime girmeyen şirketler bile tedarik zincirlerinin bir noktasında geliştiricilere güveniyor.
Loveland, “GitHub'u kullanan kimsenin bulunmadığı bir şirket bile mağdur olabilir” diyor.