Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
~Miliony zainfekowanych repozytoriów na Github! ❌ Ktoś klonuje prawdziwe repozytoria i dodaje złośliwy kod wykradający hasła / hasła z przeglądarek / ciasteczka / portfele kryptowalut.
Szczegóły całej operacji dostępne są w tym miejscu. Autorzy piszą o „ponad 100 000 zainfekowanych repozytoriów”, ale wspominają że prawdopodobnie jest ich „miliony”.
Operacja klonowania repozytoriów została zautomatyzowana, a schemat działania wygląda następująco:
atakujący pobierają „prawdziwe” repozytorium-cel, dodają złośliwy kod, uploadują na GitHub takie repo (pod taką samą nazwą jak oryginał) i robią tysiące forków, a finalnie rozpylają po forach / serwerach Discord linki do zainfekowanych repozytoriów. Istotną częścią całej operacji jest więc socjotechnika.
GitHub próbuje walczyć z problemem, ale… różnie z tym wychodzi. Tzn. bardzo dużo udaje się usunąć, ale to co pozostaje i tak stanowi dość dużą liczbę. Ze względu na co chwilę pojawiające się nowe repozytoria i ich usuwanie przez GitHub, ciężko precyzyjnie określić liczbę zainfekowanych repo kodu.
Cała operacja zaczęła się w połowie 2023 roku, ale ostatnio znacznie przybrała na sile. Do infekcji używana jest zmodyfikowana wersja projektu BlackCap-Grabber (dostępnego zresztą na GitHub; wybaczcie nie zalinkujemy tego projektu…)
Tzw IoC (Indicators Of Compromise) wskazane są w tekście badaczy.
Uważajcie skąd dokładnie pobieracie kod z GitHuba (ta akurat akcja nie infekuje prawdziwych repozytoriów) i uważajcie na linki do repozytoriów rozpylane przez „losowe osoby”.
~ms
Klonowanie repozytorium to „pobieranie”. Także jak już to kopiują (forkują wygląda jakby nie pasowało, z racji że nie robią forka od oryginalnego repo).
~Miliony zainfekowanych repozytoriów na GitHub – to w tytule sugeruje jakoby te złośliwe rzeczy były wrzucane do oryginalnych repozytoriów.
No ale to robią „atakujący pobierają „prawdziwe” repozytorium-cel, dodają złośliwy kod, uploadują na GitHub”
oraz „GitHub próbuje walczyć z problemem, ale… różnie z tym wychodzi. Tzn. bardzo dużo udaje się usunąć,” Czyli wrzucają na githuba.. . Nie wiem, nie znam się ale od czego jest hash ? to szybka droga do weryfikacji „ta sama nazwa pliku, repo itp” ale hash inny.
Cześć. Może się czepiam, ale 20 lat temu czytałem o zasadach tworzenia linków z treści artykułu, które będą odczytywane głosowo dla osób niewidomych. Należy tak dobierać fragmenty tekstu wykorzystane jako odnośnik, aby jasno określały gdzie przejdziemy za pomocą linku.
Tutaj są następujące: „dostępne są w tym miejscu”, „klonowania repozytoriów”, „wskazane są w tekście badaczy”. Trochę słabo prawda? Nie lepiej było użyć odpowiednio: „ponad 100 000 zainfekowanych repozytoriów”, „Operacja klonowania repozytoriów”, „Indicators Of Compromise”?
Tak jak lubię czytać tekst dobrze podzielony na akapity, tak samo lubię dobrze opisane linki.