Οι χάκερ παραβιάζουν λογαριασμούς GitHub και εισάγουν κακόβουλο κώδικα που μεταμφιέζεται ως συνεισφορές Dependabot για να κλέψουν μυστικά ελέγχου ταυτότητας και κωδικούς πρόσβασης από προγραμματιστές.
Η καμπάνια εκτυλίχθηκε τον Ιούλιο του 2023, όταν οι ερευνητές ανακάλυψαν ασυνήθιστες δεσμεύσεις σε εκατοντάδες δημόσια και ιδιωτικά αποθετήρια που πλαστογραφήθηκαν για να εμφανίζονται όπως δεσμεύεται το Dependabot.
Το Dependabot είναι ένα αυτοματοποιημένο εργαλείο που παρέχεται από το GitHub που σαρώνει έργα για ευάλωτες εξαρτήσεις και στη συνέχεια εκδίδει αυτόματα αιτήματα έλξης για την εγκατάσταση των ενημερωμένων εκδόσεων.
Οπως και
αναφέρθηκε σήμερα από το Checkmarx
αυτές οι ψεύτικες συνεισφορές του Dependabot έγιναν δυνατές χρησιμοποιώντας κλεμμένα διακριτικά πρόσβασης GitHub με στόχο των εισβολέων να εισάγουν κακόβουλο κώδικα για να κλέψουν τα μυστικά του έργου.
Μίμηση του Dependabot του GitHub
Η επίθεση ξεκίνησε με τους επιτιθέμενους να αποκτούν με κάποιο τρόπο τα προσωπικά διακριτικά πρόσβασης GitHub των στόχων τους, τα οποία ο Checkmarx δεν έχει καμία εικόνα.
Στη συνέχεια, οι φορείς απειλών φαίνεται ότι χρησιμοποιούν αυτοματοποιημένα σενάρια για να δημιουργήσουν ψεύτικα μηνύματα δέσμευσης με τίτλο “διόρθωση” που φαίνεται να είναι από τον λογαριασμό χρήστη “dependabot[bot].”
Αυτές οι δεσμεύσεις εισάγουν κακόβουλο κώδικα στο έργο που εκτελεί τις ακόλουθες δύο ενέργειες:
- Εξάγετε μυστικά από το στοχευμένο έργο GitHub και στείλτε τα στον διακομιστή εντολών και ελέγχου του εισβολέα.
-
Τροποποιήστε τα υπάρχοντα αρχεία JavaScript στον παραβιασμένο χώρο αποθήκευσης για να προσθέσετε
κακόβουλο λογισμικό
που κλέβει κωδικούς πρόσβασης από υποβολές φόρμας ιστού και τους στέλνει στην ίδια διεύθυνση C2.
Η εξάλειψη των μυστικών επιτυγχάνεται με την προσθήκη του αρχείου δράσης GitHub “hook.yml” ως νέα ροή εργασίας που ενεργοποιείται σε κάθε συμβάν προώθησης κώδικα στον επηρεαζόμενο χώρο αποθήκευσης.
Παράδειγμα κακόβουλης δέσμευσης
(Checmarx)
Το στοιχείο κλοπής κωδικού πρόσβασης εισάγει ασαφή JavaScript στο τέλος όλων των αρχείων JavaScript (.js) που φορτώνουν το ακόλουθο σενάριο από μια απομακρυσμένη τοποθεσία. Αυτό το σενάριο θα παρακολουθεί τις υποβολές φορμών για την κλοπή κωδικών πρόσβασης από οποιαδήποτε είσοδο φόρμας τύπου ‘password’.
Κωδικός κλοπής κωδικού πρόσβασης που ε
πικα
λείται τα τροποποιημένα αρχεία JS
(Checkmarx)
Καθώς πολλά παραβιασμένα token παραχωρούσαν επίσης πρόσβαση σε ιδιωτικά αποθετήρια, η επίθεση επηρέασε τόσο τα δημόσια όσο και τα ιδιωτικά αποθετήρια GitHub.
Πιθανά σημεία συμβιβασμού
Οι αναλυτές του Checkmarx εξέτασαν τα αρχεία καταγραφής ορισμένων θυμάτων και διαπίστωσαν ότι οι λογαριασμοί τους παραβιάστηκαν χρησιμοποιώντας κλεμμένα PAT (προσωπικά διακριτικά πρόσβασης).
Αυτά τα διακριτικά αποθηκεύονται τοπικά στους
υπολογιστές
του προγραμματιστή και μπορούν να χρησιμοποιηθούν για να συνδεθείτε στο GitHub χωρίς να ακολουθήσετε βήματα 2FA (έλεγχος ταυτότητας δύο παραγόντων).
“Δυστυχώς, η δραστηριότητα του αρχείου καταγραφής πρόσβασης του διακριτικού δεν είναι ορατή στο αρχείο καταγραφής ελέγχου του λογαριασμού. Επομένως, εάν το διακριτικό σας έχει παραβιαστεί, δεν μπορείτε να ξέρετε με βεβαιότητα επειδή λείπουν τα αρχεία καταγραφής πρόσβασης”, προειδοποιεί ο Checkmarx
Η αλυσίδα της επίθεσης
(Checkmarx)
Αν και η εταιρεία κυβερνοασφάλειας δεν κατέληξε σε συγκεκριμένο συμπέρασμα σχετικά με τα ακριβή μέσα με τα οποία οι εισβολείς έκλεψαν αυτά τα διακριτικά, υποθέτουν ότι μπορεί να οφείλεται σε μόλυνση από κακόβουλο λογισμικό που πιθανώς εισήχθη στη
συσκευή
του προγραμματιστή μέσω ενός κακόβουλου πακέτου.
Οι περισσότεροι παραβιασμένοι χρήστες προέρχονται από την Ινδονησία, πράγμα που υποδηλώνει μια στοχευμένη επίθεση προσαρμοσμένη σε αυτό το δημογραφικό στοιχείο. Ωστόσο, τα διαθέσιμα στοιχεία δεν παρέχουν συγκεκριμένες λεπτομέρειες για το θέμα.
Ένα προτεινόμενο μέτρο άμυνας από αυτές τις επιθέσεις είναι η μετάβαση στο GitHub
λεπτόκοκκα μάρκες προσωπικής πρόσβασης
που περιορίζει κάθε χρήστη σε συγκεκριμένα δικαιώματα, μειώνοντας έτσι τους κινδύνους σε περίπτωση συμβιβασμού.