Binlerce GitHub depoları, bugün keşfedilen bir yazılım mühendisi olan kötü amaçlı yazılımları içerecek şekilde değiştirilmiş klonları ile kopyalandı.
Açık kaynak depolarının klonlanması ortak bir kalkınma uygulaması olmakla birlikte, geliştiriciler arasında bile teşvik edilirken, bu dava, meşru projelerin kopyalarını oluşturan tehdit aktörlerini içerir, ancak bunları kötü niyetli klonlarıyla şüphesiz geliştiricileri hedeflemek için kötü amaçlı kodla lekelemektedir.
Github, mühendis raporunu aldıktan sonra kötü niyetli depoların çoğunu temizledi.
Bugün, yazılım geliştiricisi Stephen Lacy, GitHub'da yaklaşık 35.000 yazılım deposunu etkileyen bir "yaygın kötü amaçlı yazılım saldırısı" keşfettiğini iddia ettiğinde herkesi şaşırttı.
Bununla birlikte, orijinal tweet'in önerdiği şeyin aksine, GitHub'daki "35.000 proje" hiçbir şekilde etkilenmedi veya tehlikeye atılmadı.
Aksine, binlerce geri yüklenen proje, tehdit aktörleri tarafından kötü amaçlı yazılımları zorlamak için olduğu iddia edilen meşru projelerin kopyalarıdır (çatallar veya klonlar).
Kripto, Golang, Python, JS, Bash, Docker, K8S gibi resmi projeler etkilenmedi. Ancak, bu, aşağıdaki bölümlerde açıklandığı gibi, bulgu önemsizdir.
Açık kaynaklı bir projeyi incelerken Lacy'nin "bir Google araması bulduğu", mühendis Twitter'da paylaştığı kodda aşağıdaki URL'yi fark etti:
BleepingComputer, çoğu gibi, bu URL için GitHub'ı ararken, kötü amaçlı URL'yi içeren dosyaları gösteren 35.000'den fazla arama sonuçunun olduğunu gözlemledi. Bu nedenle, şekil, enfekte depolar yerine şüpheli dosya sayısını temsil eder:
Ayrıca, 35.788 kod sonucundan, 13.000'den fazla arama sonucunun 'Redhat-Operator-ekosistem' adlı tek bir depodan olduğunu keşfettik.
Bu sabah BleepingComputer tarafından görülen bu depo, şimdi GitHub'dan çıkarılmış gibi görünüyor ve 404 (bulunamadı) bir hata gösteriyor.
Mühendis o zamandan beri orijinal tweet'ine düzeltmeler ve açıklamalar [1, 2] yayınladı.
Geliştirici James Tucker, kötü amaçlı URL'yi içeren klonlanmış depoların sadece bir kullanıcının ortam değişkenlerini de çözmekle kalmayıp, aynı zamanda tek satırlık bir arka kapı içerdiğine dikkat çekti.
Çevre değişkenlerinin kendi başına pespiltrasyonu, tehdit aktörlerine API anahtarlarınız, jetonlarınız, Amazon AWS kimlik bilgileriniz ve kripto anahtarlarınız gibi hayati sırlar sağlayabilir.
Ancak, tek satırlık talimat (yukarıdaki satır 241), uzak saldırganların bu kötü niyetli klonları kuran ve çalıştıran herkesin sistemlerinde keyfi kod yürütmesine izin verir.
Bu etkinliğin zaman çizelgesine gelince, sapma sonuçlarını gözlemledik.
Klonlanmış depoların büyük çoğunluğu, geçen ay içinde kötü niyetli kodla değiştirildi - sonuçlarla altı ila on üç gün ila yirmi gün öncesi. Ancak, 2015'e kadar tarihli kötü niyetli taahhütlere sahip bazı depoları gözlemledik.
Bugün GitHub'a yapılan kötü amaçlı URL'yi içeren en son taahhütler, çevrenizdeki kötü amaçlı kodu tespit etmek için Sigma kuralları sağlayan tehdit Intel analisti Florian Roth da dahil olmak üzere çoğunlukla savunuculardan.
İronik bir şekilde, bazı Github kullanıcıları, Roth tarafından korunan Sigma'nın GitHub Repo'yu, Sigma kuralları içinde kötü niyetli tellerin (savunucular tarafından kullanım için) varlığını görmede kötü niyetli olarak bildirmeye başladı.
Github, kötü niyetli klonları birkaç saat önce platformundan çıkardı, BleepingComputer gözlemleyebilir. Github'ın güvenlik ekibi de bir açıklama yaptı:
Github, 3 Ağustos 2022'de yayınlanan Tweet'i araştırıyor: * Hiçbir depodan ödün verilmedi * Kötü amaçlı kodlar, depoların kendilerine değil, klonlanmış depolara gönderildi * Klonlar karantinaya alındı ve GitHub veya Bakımcı Hesaplarının belirgin bir uzlaşması yoktu
En iyi uygulama olarak, resmi proje depolarından yazılım tüketmeyi ve orijinal projeyle aynı görünebilecek ancak kötü amaçlı yazılımları gizleyebilecek potansiyel yazım hataları veya depo çatalları/klonlarına dikkat etmeyi unutmayın.
Klonlanmış depolar, orijinal yazarların kullanıcı adları ve e -posta adresleriyle kod taahhütlerini tutmaya devam edebileceğinden, bunun tespit edilmesi zor olabilir ve orijinal proje yazarları tarafından daha yeni taahhütlerin bile yapıldığı yanıltıcı bir izlenim bırakır. Otantik proje yazarlarının GPG anahtarlarıyla imzalanan açık kaynak kod taahhütleri, kodun özgünlüğünü doğrulamanın bir yoludur.
3 Ağustos 23:15 ET: Github'ın saatler sonra yayınlanan ifadesini içerecek şekilde güncellendi.
Pypi Paketi 'Keep' yanlışlıkla bir şifre çalma dahil
Rus organizasyonları New Woody Rat Kötü Yazılımlarla Saldırdı
Çinli hackerlar yeni Kobalt grev benzeri saldırı çerçevesi kullanıyor
Koyun Kıyafetlerinde Kurt: Kötü Yazılım Kullanıcıları ve Antivirüs
Facebook reklamları, google Play'de 7 milyon yükleme ile Android reklam yazılımı itiyor
Kaynak: Bleeping Computer