Οι χάκερ παραβιάζουν λογαριασμούς GitHub και εισάγουν κακόβουλο κώδικα που μεταμφιέζεται ως Dependabot contributions για να κλέψουν μυστικά ελέγχου ταυτότητας και κωδικούς πρόσβασης από προγραμματιστές.
Η εκστρατεία ξετυλίχθηκε τον Ιούλιο του 2023, όταν οι ερευνητές ανακάλυψαν ασυνήθιστα commits σε εκατοντάδες δημόσια και ιδιωτικά repositories που υποδομεύτηκαν για να φαίνονται ως Dependabot commits.
Το Dependabot είναι ένα αυτοματοποιημένο εργαλείο που παρέχεται από το GitHub που σαρώνει projects για ευάλωτα dependencies και στη συνέχεια εκδίδει αυτόματα pull requests για την εγκατάσταση των ενημερωμένων εκδόσεων.
Όπως αναφέρεται σήμερα από το Checkmarx, αυτά τα ψεύτικα Dependabot contributions ήταν δυνατό να πραγματοποιηθούν χρησιμοποιώντας κλεμμένα διαπιστευτήρια πρόσβασης GitHub, με σκοπό την εισαγωγή κακόβουλου κώδικα για να κλέψουν τα μυστικά του project.
Μίμηση του Dependabot του GitHub
Η επίθεση ξεκίνησε με τους επιτιθέμενους να αποκτούν τα προσωπικά GitHub access tokens των στόχων τους.
Στη συνέχεια, οι χάκερ φαίνεται να χρησιμοποιούν αυτοματοποιημένα script για να δημιουργήσουν ψεύτικα μηνύματα commit με τίτλο “fix” που φαίνεται να προέρχονται από τον λογαριασμό χρήστη “dependabot[bot].”
Τα συγκεκριμένα commit εισάγουν κακόβουλο κώδικα στο project που εκτελεί τις παρακάτω δύο ενέργειες:
- Εξάγετε μυστικά από το στοχευμένο έργο GitHub και στείλτε τα στον διακομιστή εντολών και ελέγχου του εισβολέα.
- Τροποποιήστε τα υπάρχοντα αρχεία JavaScript στο παραβιασμένο repository για να προσθέσετε malware που κλέβει κωδικούς πρόσβασης από web-form submissions και τους αποστέλλει στην ίδια διεύθυνση C2.
Η αποκάλυψη των μυστικών γίνεται εφικτή με την προσθήκη του αρχείου δράσης “hook.yml” στο GitHub ως ένα νέο workflow που ενεργοποιείται κατά την κάθε ενέργεια code push στο επηρεαζόμενο repository.
Ο συνιστώμενος κωδικοποιημένος κειμενολόγος εισάγει JavaScript στο τέλος όλων των αρχείων JavaScript (.js) που φορτώνουν το ακόλουθο script από απομακρυσμένο τοποθεσία. Αυτό το script θα παρακολουθεί τις υποβολές φορμών για να κλέψει κωδικούς πρόσβασης από οποιαδήποτε πεδία εισόδου φόρμας τύπου ‘password’.
Καθώς πολλά παραβιασμένα token παραχωρούσαν επίσης πρόσβαση σε ιδιωτικά αποθετήρια, η επίθεση επηρέασε τόσο τα δημόσια όσο και τα ιδιωτικά αποθετήρια GitHub.
Πιθανά σημεία παραβίασης
Οι αναλυτές της Checkmarx εξέτασαν τα αρχεία καταγραφής από ορισμένα θύματα και διαπίστωσαν ότι οι λογαριασμοί τους εξαιτίας της παραβίασης κλεμμένων PAT (προσωπικά διακριτικά πρόσβασης).
Αυτά τα credentials αποθηκεύονται τοπικά στους υπολογιστές των προγραμματιστών και μπορούν να χρησιμοποιηθούν για να συνδεθούν στο GitHub χωρίς να περάσουν από τα βήματα της διπλής επαλήθευσης ταυτότητας (2FA).
Παρόλο που η εταιρεία κυβερνοασφάλειας δεν κατέληξε σε συγκεκριμένο συμπέρασμα για τον ακριβή τρόπο με τον οποίο οι επιτιθέμενοι κλέβουν αυτά τα διακριτικά, υποθέτουν ότι μπορεί να γίνεται μέσω μολυσμένου λογισμικού που πιθανόν εισάγεται στη συσκευή του προγραμματιστή μέσω ενός κακόβουλου πακέτου.
Οι περισσότεροι χρήστες που έχουν πέσει θύμα παραβίασης προέρχονται από την Ινδονησία, υποδηλώνοντας μια εξειδικευμένη επίθεση σχεδιασμένη για αυτό το συγκεκριμένο γεωγραφικό πληθυσμό. Ωστόσο, οι διαθέσιμες αποδείξεις δεν παρέχουν αναλυτικές πληροφορίες σχετικά με το θέμα.
Μια προτεινόμενη μέθοδος για την προστασία από αυτές τις επιθέσεις είναι η μετάβαση σε personal access tokens του GitHub, τα οποία περιορίζουν κάθε χρήστη σε συγκεκριμένες άδειες, μειώνοντας έτσι τους κινδύνους σε περίπτωση παραβίασης.
Πηγή πληροφοριών: bleepingcomputer.com