Програмистката платформа GitHub се наводни с клонирани файлове с вируси

Стефан Николов Последна промяна на 04 август 2022 в 16:40 2725 0

GitHub

Снимка Roman Synkevych/Unsplash

GitHub

Програмистът Стивън Лейси взриви IT общността със своето съобщение в Twitter, с което заяви, че е разкрил мащабна атака от опасен зловред код в програмистката платформа GitHub. Тя се използва от софтуерни експерти от цял свят за споделяне на кодове, програми и проверки.

Атаката потенциално е засегнала над 35 хил. хранилища. Особеното в този случай е, че не става дума за компрометиране или хакване на самите сървъри или акаунт. Тази атака е много по-опасна: тези хранилища се оказаха копия на други проекти, специално създадени за разпространението на компютърни вируси. Коварното е, че са засегнати мащабни и популярни софуерни кодове, включително crypto, golang, python, js, bash, docker и k8s.

По принцип клонирането на GitHub хранилищата е стандартна практика за по-лесна работа със сорс код, която се поощрява от разработчиците. Така се споделя опит и се кодът се усъвършенства. Само че тук хакерите създават копие/клонинг на някакъв проект и вмъкват вредоносен код, с помощта на който атакуват нищо неподозиращите разработчици, които използват заразените клонинги на хранилищата.

Всичко започва с това, че Лейси е проучвал голям проект с отворен код и забелязал в сорса подозрителен интернет адрес на руски домейн. След като направил заявка за търсене на този линк, той го е открил в 35 хил. файла на най-различни хранилища.

Специалистите на популярното интернет издание Bleeping Computer направиха проверка и съобщиха, че тези 35 хил. бройки всъщност се отнасят до количеството подозрителни файлове, а не на заразените хранилища. Оказа се, че първоначалната оценка на Лейси не е била съвсем точна - той е направил заявка за търсене на малуер, която е върнала 35 788 резултата, но всъщност заразените GitHub хранилища са малко над 13 хил.

След като всичко това стана известно редица експерти по информационна сигурност се заеха да правят собствени проверки и да анализират получената информация. Така например, известният специалист Джеймс Тъкър откри, че клонираните хранилища са включвали зловред URL адрес, в тях е заложен механизъм за извличане на променливите от потребителската сесия. По този начин хакерите могат да откраднат чувствителна информация, включително криптиращи ключове, токени, идентификационни данни за Amazon AWS и криптографски ключове за онлайн банкиране и др.

Освен това има и „задна врата“, скрита в сорс код с дължина само един ред. Тя позволява да се стартират и изпълнят произволен код в заразените компютърни системи. С други системи се пробиват и самите устройства, които са изтеглили компрометираните файлове.

Експертите на Bleeping Computer допълват, че по-голямата част от тези опасни хранилища се е появила в рамките на изминалите между 6 до 12 дни, но има хранилища с вредоносни блокове код от далечната 2015 г. Това всъщност означава, че те явно по-късно са били хакнати.

Досега никой не подозираше, че GitHub може да бъде вектор на атака. Има проекти с огромен брой редове сорс код, сред които лесно може да бъде скрит опасен малуер. Атаката е насочена предимно към по-наивните разработчици, които не си правят труда да проверят сигнатурата на файловете в проектите с отворен код, които се подписват с помощта на GPG ключове.

Направените по-късно проверки показаха, че GitHub е изчистил заразените хранилища, но е очевидно, че трябва малко повече да се внимава при използването на чужд код, понеже там е възможно да се крият неприятни изненади.

Всички новини
Най-четени Най-нови
За писането на коментар е необходима регистрация.
Моля, регистрирайте се от TУК!
Ако вече имате регистрация, натиснете ТУК!

Няма коментари към тази новина !