Yazılım uzmanlarının bugün söylediğine göre, "Pl0xP" tanıtıcısından hareket eden bir bilgisayar korsanı, çok sayıda GitHub deposunu klonladı ve meşru projeleri taklit etmek için yazım hatası yapma çabasıyla klonlanan depo adlarını biraz değiştirdi - böylece potansiyel olarak kodu içe aktaran herhangi bir yazılıma bulaştı.
Yazılım mühendisi Stephen Lacy, sabahın erken saatlerinde Twitter gönderisinde, yaygın klonlamanın, farklı kod havuzlarına 35,000'den fazla kötü amaçlı URL eklenmesiyle sonuçlandığını, ancak etkilenen yazılım projelerinin kesin sayısının muhtemelen çok daha az olduğunu belirtti. Saldırı, bir varyantı bağımlılık karışıklığı, yazılım kaynağının yeterli doğrulaması olmadan sahte GitHub depolarını kullanan geliştiriciler için sorunlara neden olabilirdi dedi.
Lacy'ye göre, içe aktarılırsa, kötü amaçlı kod sistemde kod yürütür. “Bu saldırı komut dosyasının, uygulamanın, dizüstü bilgisayarın (elektron uygulamaları) TÜM ENV'sini saldırganın sunucusuna gönderecek! ENV'ler şunları içerir: Güvenlik anahtarları; AWS erişim anahtarları; Kripto anahtarları… çok daha fazlası.”
"ENV'ler", geliştiricilerin iş akışlarında başvurmak istedikleri bilgileri depolamak için kullanılan ortam değişkenleridir.
Lacy, yazılım mühendisinin kendi projesine dahil etmeyi düşündüğü bir yazılım kitaplığını denetlediğinde kötü amaçlı işlevi bulduğunu söyledi.
"Bir Google aramasında bulduğum bir projeyi incelerken bu açığı keşfettim." o tweeted. "İşte bu yüzden internetten rastgele paketler kurmuyoruz!"
Klonlama - veya "çatallama" - yeni bir kötü amaçlı teknik değil, ancak aldatıcı bir teknik.
Aqua Security yazılım mühendisi Mor Weinberg, "Kötü aktörlerin geçmişte kötü amaçlı kod içeren klonlanmış/çatallanmış popüler depolar oluşturmasıyla zaten biliniyordu" diyor. "Klonlanmış depolar, orijinal yazarların kullanıcı adları ve e-posta adresleriyle kod taahhütlerini tutabileceğinden, orijinal proje yazarları tarafından daha yeni taahhütlerin yapıldığı yanıltıcı bir izlenim verebileceğinden, bunu tespit etmek oldukça zor olabilir. Gerçek proje yazarlarının GPG anahtarlarıyla imzalanan açık kaynak kodu taahhütleri, kodun gerçekliğini doğrulamanın bir yoludur."
ArmorCode'un ürün başkan yardımcısı Mark Lambert, "Bu... birinin 'sahte' bir web sitesini ayağa kaldırmasına veya bir kimlik avı e-postası göndermesine benziyordu" diye ekliyor. "Bu, dikkat etmeyen insanları yakalayacak."
Saldırı mı, Meşru Araştırma mı?
GitHub'daki bu toplu çatallanma, gerçek bir saldırı olmayabilir. Konu hakkında bilgi sahibi olduğunu iddia eden bir kişi, yaygın olan yazım yanlışını meşru bir araştırma çabası olarak konumlandırdı.
"Bu sadece bir böcek-ödül çabası. zarar yok Rapor yayınlanacak" “pl0x_plox_chiken_p0x” adlı Twitter kullanıcısı 3 Ağustos'ta tweet attı.
Kötü tasarlanmış bir araştırma projesi saldırıyı açıklayabilirken, araştırma için binlerce kod değişikliği oluşturmak mantıksız bir şekilde riskli görünüyor. Ayrıca, Twitter kullanıcısı hesabı yalnızca önceki üç gün içinde kaydettirmiştir - kısa hesap ömürleri genellikle sahte çevrimiçi kişilerin bir özelliğidir.
Yazılım güvenlik firması Checkmarx'ın tedarik zinciri güvenlik mühendisliği başkanı Jossef Harush Dark'a, saldırının bir böcek ödülünün parçası olduğu iddiasının "etkinlik kötü niyetli bir saldırının özelliklerine sahip olduğu için kanıtlanmayı bekliyor" dedi. Okuma.
Her halükarda, bug-bounty platformu Bugcrowd'da güvenlik operasyonları kıdemli yöneticisi Michael Skelton, en azından orijinal kod havuzlarının etkilenmediğini belirtiyor.
"Pl0xP'nin bug-ödül bulgusunun doğasının ne olacağı belli olmasa da (sosyal mühendislik neredeyse tüm bug-ödül programlarının kapsamı dışındadır), birkaç depoyu klonlamışlar ve değişikliklerini bu klonlarda yapmışlar gibi görünüyor. sadece - bu değişiklik hiçbir durumda klonlanmış orijinal depolara girmedi” diyor. "Bir depoyu klonlamak standart bir eylemdir ve sahibi burada yapılmayan bir değişikliği (bir çekme isteği aracılığıyla talep edilir) birleştirmediği sürece orijinal depoyu etkilemez."
Çok Sayıda Kötü Amaçlı Yazılım Bağımlılığı
GitHub görünüşe göre kötü amaçlı kod işlemelerini temizledi ve 3 Ağustos günü öğleden sonra gömülü hatalı URL için yapılan bir arama sıfır sonuç verdi. Yine de saldırı, açık kaynak projelerinin saldırganlarla uğraşmak zorunda kaldığı ilk sefer değil. Yazılım tedarik zincirine yönelik saldırıların sayısı 650'de %2021 arttıSaldırganın, geliştiricilerin istenen bir kitaplığın veya bileşenin adını yanlış yazması veya terminolojideki küçük farkı fark etmemesi umuduyla, bir açık kaynak kod bloğunun neredeyse aynı adlı bir sürümünü kullandığı bağımlılık-karmaşa saldırıları tarafından yönlendirilir.
Depoları kötü amaçlı, yanlış adlandırılmış projelerle tohumlamak, saldırganın bazı temel çalışmalar yapmasını gerektirir. Temmuz ayında yazılım güvenlik firması Checkmarx, GitHub'da sahte geliştirici hesapları oluşturmanın bir yolunu ortaya çıkardı. aktif bir kod işleme geçmişi ile tamamlandı kredibilitesini artırmak için. Harush, tekniğin en son saldırıyla birlikte, bakımcıların yalnızca imzalı kod taahhütlerini kabul etmek için adımlar atması gerektiğinin altını çiziyor. Geliştiricilerin "çekme isteklerine ve doğrulanmamış şüpheli taahhütlere sahip katkılara dikkat etmesi [ve] gözden geçirmesi gerekir ... taahhüt mesajındaki feragatnameye kıyasla katkıların içeriğini ve benzer adlandırılmış bağımlılıklara mevcut bağımlılıkları ekleyen veya değiştiren katkıları. katkı" diye ekliyor.
Güvenme, Doğrula
Projelerinin zehirlenmesini önlemek için bakımcılar ve geliştiriciler yalnızca kendileri tarafından bilinen ve kapsamlı ve doğrulanabilir bir taahhüt geçmişine sahip katkıda bulunanlara güvenmelidir. Harush, hesaplarını güvence altına almak için dijital imzalar ve çok faktörlü kimlik doğrulama gibi mevcut araçları da kullanmaları gerektiğini söylüyor.
"Yabancılardan gelen şekerlere güvenmemeniz gerektiği gibi, yabancılardan gelen kodlara da güvenmeyin" diyor. "Kullanıcılar, aday projeyi değerlendirirken kandırılabilir ve meşru olduklarını düşünürler [böylece] yerel geliştirme bilgisayarlarında, yapı ortamlarında, üretim ortamlarında ve hatta yazılım oluştururken [sonunda kötü niyetli bir şey çalıştırana kadar] müşterilerin [ sistemler].”
Checkmarx'ın kimlik bilgilerinin sızdırılması ve bilgi işlemeye ilişkin Temmuz ayındaki danışma belgesinde git komut satırı yardımcı programı, şirket, kötü niyetli işleyiciler kendilerini bilinen katkıda bulunanlar olarak gizlediğinde, yazılım projelerine yönelik risklerin altını çizdi. Bu, "projenin güvenilir görünmesini sağlar" firma belirtti. "Bu taahhüt sahtekarlığını daha da endişe verici kılan şey, sahtekarlık yapılan kullanıcının bilgilendirilmemesi ve adının kullanıldığını bilmemesidir."
Checkmarx, GitHub'ın katkıda bulunanın kimliğini doğrulamak için kod taahhütleri için zaten dijital imzalar eklediğini, ancak proje yöneticilerinin GitHub'ın her bir taahhüdün ve katkıda bulunanın doğrulama durumunun ayrıntılarını gösteren bir özelliği olan "uyanık modu" etkinleştirmesi gerektiğini belirtti.
Harush, en azından, geliştiricilerin ve proje bakımcılarının taahhüt kayıtlarını ara sıra gözden geçirmeleri ve diğer bakımcılardan GPG imzalı taahhütleri etkinleştirmelerini istemeleri gerektiğini söylüyor. "İmzalı bir taahhüt günlüğüne sahip olmaya alışmak, doğrulanmamış katkılara dikkat etmeniz için size fayda sağlayacaktır."
Yorum için GitHub'a hemen ulaşılamadı.
