Atacatorii cibernetici au folosit de mult timp metoda denumită “typosquatting” pentru a păcăli utilizatorii să viziteze site-uri web malițioase sau să descarce software și pachete capcană. Această tehnică implică înregistrarea domeniilor sau pachetelor cu nume ușor alterate față de cele legitime (de exemplu, goog1e.com vs. google.com). Descoperirile recente arată că și GitHub Actions, o platformă de integrare și livrare continuă (CI/CD), este vulnerabilă la asemenea atacuri.
TL;DR
- “Typosquatting” este o metodă prin care atacatorii înregistrează nume de domenii sau pachete asemănătoare cu cele legitime.
- GitHub Actions este vulnerabilă la acest tip de atacuri.
- Atacatorii pot publica acțiuni malițioase pe GitHub pentru a rula cod rău intenționat.
- Utilizatorii sunt sfătuiți să verifice corectitudinea numelui acțiunilor GitHub pe care le utilizează.
Ce este Typosquatting-ul?
Atacatorii folosesc Typosquatting-ul pentru a profita de greșelile de tastare ale utilizatorilor. În lumea dezvoltării software-ului open-source, tastările greșite pot deschide ușa atacurilor asupra lanțului de aprovizionare software. Platforme precum PyPI, npm, Maven Central, și altele, nu sunt străine de acest tip de atac. Recent, firma de securitate cloud Orca a arătat că și GitHub Actions este expusă la aceste riscuri.
Vulnerabilitatea GitHub Actions
GitHub Actions permite oricui să creeze și să publice o acțiune pe GitHub folosind un cont de email temporar. Aceste acțiuni rulate în contextul unui depozit al utilizatorului pot fi exploatate pentru a modifica codul sursă, a fura secrete sau a livra malware. Atacul constă în crearea de organizații și depozite cu nume foarte asemănătoare cu acțiunile populare sau utilizate pe larg în GitHub.
Cum funcționează atacul
Un dezvoltator poate să facă erori de tastare atunci când configurează o acțiune GitHub pentru proiectul său. Dacă versiunea greșită a fost deja creată de un adversar, atunci fluxul de lucru al utilizatorului va rula acțiunea malițioasă în locul celei intenționate. Acest lucru poate duce la exfiltrarea informațiilor sensibile sau la modificarea codului pentru a introduce erori subtile sau backdoor-uri.
„Imaginați-vă o acțiune care exfiltrează informații sensibile sau modifică codul pentru a introduce erori subtile sau backdoor-uri, afectând toate construcțiile și implementările viitoare”, spune Ofir Yakobi, cercetător în securitate.
Cum să vă protejați de Typosquatting
Utilizatorii sunt sfătuiți să verifice întotdeauna numele acțiunilor și să se asigure că fac referință la organizațiile GitHub corecte, să utilizeze acțiuni din surse de încredere și să scaneze periodic fluxurile lor CI/CD pentru probleme de tip typosquatting. Este important să se adopte bune practici și să se rămână vigilenți pentru a preveni astfel de atacuri.
Sursa articolului:
https://thehackernews.com/2024/09/github-actions-vulnerable-to.html
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
