Poznaj AI! Obejrzyj bezpłatnie szkolenie jutro o godz. 10:00 lub 19:00

Tag: github

GitHub MCP pomaga wykradać dane z prywatnych repozytoriów – kolejna sprytna technika prompt injection w wydaniu indirect

29 maja 2025, 10:40 | W biegu | 0 komentarzy
GitHub MCP pomaga wykradać dane z prywatnych repozytoriów – kolejna sprytna technika prompt injection w wydaniu indirect

W naszym ostatnim tekście przybliżyliśmy problemy opisane przez firmę Legit, które pozwalały na wykorzystanie asystenta Duo do kradzieży poufnych informacji z prywatnych repozytoriów lub zmuszania modelu LLM do wykonywania niepożądanych przez prawowitego właściciela projektu działań. Jak można się było domyślić, poruszana tematyka jest związana raczej z architekturą rozwiązań niż z…

Czytaj dalej »

Zarabianie kryptowalut za pomocą Github Actions? Jak wykorzystano atak na łańcuch dostaw do przejęcia biblioteki Python – ultralytics

23 grudnia 2024, 01:53 | W biegu | komentarzy 5
Zarabianie kryptowalut za pomocą Github Actions? Jak wykorzystano atak na łańcuch dostaw do przejęcia biblioteki Python – ultralytics

Ataki na łańcuch dostaw nie są nowością w świecie IT security. Od książkowego Solarwinds, przez legendarny backdoor w SSH,  po ataki na infrastrukturę służącą do publikacji paczek Pythona – ten rodzaj zagrożenia wciąż powinien być traktowany poważnie. Zwłaszcza, że wykorzystywane są coraz bardziej pomysłowe sposoby na przemycenie niechcianego kodu do…

Czytaj dalej »

Uważaj co wrzucasz do prywatnych repozytoriów na GitHubie – podatność opisana jako CFOR

26 lipca 2024, 15:49 | W biegu | 1 komentarz
Uważaj co wrzucasz do prywatnych repozytoriów na GitHubie – podatność opisana jako CFOR

Zespół trufflesecurity opisał bardzo ciekawy, ale bardzo nieintuicyjny i nieoczywisty na pierwszy rzut oka, design wykorzystywany przez GitHuba do zarządzania zależnościami między repozytoriami i forkami. Architektura tego rozwiązania pozwala, w pewnych okolicznościach użytkownikom na dostęp do commitów przesyłanych nie tylko do prywatnych repozytoriów ale także tych usuniętych. Nie jest to…

Czytaj dalej »

Można było czytać zmienne środowiskowe i wykonać kod na serwerach Githuba

11 maja 2024, 15:22 | W biegu | komentarze 2
Można było czytać zmienne środowiskowe i wykonać kod na serwerach Githuba

Każdy zespół bezpieczeństwa lubi otrzymać zgłoszenie podatności w piątek po 17. Tym razem autor znaleziska (@Creastery) opisuje szczegóły podatności, którą odnalazł w okolicach Świąt Bożego Narodzenia 2023, odrywając zespół reagowania na incydenty od makowca. Użytkownicy GitHuba mogli trafić na ogłoszenie, w którym informowano że sekrety, takie jak klucze API itd….

Czytaj dalej »

Nowy wariant RedLine stealera celuje w graczy plus hostowanie malware za pomocą komentarzy

24 kwietnia 2024, 05:09 | W biegu | 1 komentarz
Nowy wariant RedLine stealera celuje w graczy plus hostowanie malware za pomocą komentarzy

McAfee na swoim blogu opisuje nowy wariant RedLine stealera. Tym razem złośliwe oprogramowanie celuje w graczy, a dodatkowo wykorzystuje parę ciekawych sztuczek. Malware udaje Cheat Engine, czyli oprogramowanie do wprowadzania różnego rodzaju modyfikacji w grach poprzez zmianę zawartości pamięci. Pierwsze co zwraca uwagę, to ciekawy zabieg socjotechniczny wykorzystywany do rozprzestrzeniania się. Podczas…

Czytaj dalej »

Oprogramowanie Mercedesa dostępne dla każdego przez pozostawiony w repozytorium token

01 lutego 2024, 12:48 | W biegu | 1 komentarz
Oprogramowanie Mercedesa dostępne dla każdego przez pozostawiony w repozytorium token

To nie jest pierwsza (i pewnie nie ostatnia) wpadka związana z niewłaściwym zarządzaniem sekretami w kodzie źródłowym. Pracownik firmy pozostawił w publicznie dostępnym repozytorium token dostępowy do serwera GitHub Enterprise.  Uprawnienia dla tego tokenu pozwalały na nieograniczony, jak piszą badacze z redhuntlabs.com, dostęp do wewnętrznych zasobów firmy takich jak kod…

Czytaj dalej »

Okta ponownie z incydentem, skradzione kody źródłowe

28 grudnia 2022, 10:05 | W biegu | komentarze 2
Okta ponownie z incydentem, skradzione kody źródłowe

Okta, producent rozwiązań Identity and Access Management (IAM), w swoim oświadczeniu napisało, że zostali zhackowani w tym miesiącu. W wyniku ataku zostały wykradzione kody źródłowe z repozytoriów platformy GitHub. Niestety w tym roku to nie pierwszy przypadek, o którym pisaliśmy. Wcześniej firma została zaatakowana przez grupę LAPSUS$. GitHub poinformował dostawcę…

Czytaj dalej »

Jak złośliwym markdownem można (było) przejąć GitHuba? A tak… [podatność warta 160000zł]

06 kwietnia 2022, 15:18 | W biegu | 0 komentarzy
Jak złośliwym markdownem można (było) przejąć GitHuba? A tak… [podatność warta 160000zł]

Ten nieco krzykliwy tytuł to komentarz do tej podatności: cmark-gfm (Github’s markdown parsing library) is vulnerable to an out-of-bounds write when parsing markdown tables with a high number of columns due to an overflow of the 16bit columns count. Poniżej wersja bardziej newsowa: W tłumaczeniu na polski: można by potencjalnie…

Czytaj dalej »

Github: dla pewnych kont można było wysyłać e-maile z resetem hasła na… inne adresy mailowe

17 grudnia 2019, 14:04 | W biegu | komentarzy 7
Github: dla pewnych kont można było wysyłać e-maile z resetem hasła na… inne adresy mailowe

Ciekawy przykład, który w zasadzie może wystąpić w każdej aplikacji webowej. Otóż przy próbie resetu hasła, GitHub podany adres mailowy najpierw robił lowercase, a później porównywał z tym w bazie. W czym problem? W Unicode. Przykład? Czyli jeśli założyłem sobie maila z np. tureckim i w nazwie, toLowerCase() normalizował to do zwykłego 'i’….

Czytaj dalej »

GitHub: nieautoryzowany dostęp do kont użytkowników -> przyznano nagrodę ~100 000zł

07 listopada 2019, 19:50 | Aktualności | komentarze 2
GitHub: nieautoryzowany dostęp do kont użytkowników -> przyznano nagrodę ~100 000zł

Ta podatność w GitHub-ie warta jest wspomnienia ze względu na kilka różnych ciekawostek. Całość dotyczy wydawałoby się bezpiecznego mechanizmu OAuth. Ale od początku, GitHub definiuje taki URL: https://github.com/login/oauth/authorize Realizuje on dwie funkcje – jeśli dostaniemy się tam GET-em otrzymujemy ekran logowania, z kolei POST wysyłany jest w momencie kiedy użytkownik…

Czytaj dalej »

Z GitHuba ciekną poufne dane aż (nie)miło. Wycieki można oglądać w czasie rzeczywistym.

26 września 2019, 11:14 | W biegu | 1 komentarz
Z GitHuba ciekną poufne dane aż (nie)miło. Wycieki można oglądać w czasie rzeczywistym.

Hasła, klucze API, pliki konfiguracyjne, pliki z hasłami i innymi poufnymi danymi.  W sumie około 120 tego typu 'źródeł’. Czy te dane rzeczywiście są poufne? Wg ich właścicieli nie, bo udostępnili je publicznie na GitHub-ie (pozostaje pytanie czy w sposób świadomy). 'Filmik’ z wycieków, realizowany w czasie rzeczywistym dostępny jest…

Czytaj dalej »

Github zacznie przydzielać numery CVE 

19 września 2019, 10:45 | W biegu | 0 komentarzy

Dzisiaj na oficjalnym twitterze GitHub pojawiła się informacja, że stali się CNA, czyli CVE Numbering Authority. Oznacza to, że badacze bezpieczeństwa będą mogli zwrócić się do serwisu w celu przydzielenia numerów CVE dla znalezionych podatności.  CVE to skrót od Common Vulnerabilities and Exposures i jest ogólnie przyjętym systemem katalogującym informacje…

Czytaj dalej »