GitHub’daki milyonlarca yazılım deposu, adı verilen bir saldırıya karşı muhtemelen savunmasızdır. Repo Jackingyeni bir çalışma ortaya çıkardı.
Buna Google, Lyft ve birkaç diğer kuruluştan depolar, Massachusetts merkezli bulut yerel güvenlik firması Aqua dahildir. söz konusu Çarşamba raporunda.
Bağımlılık deposunun ele geçirilmesi olarak da bilinen tedarik zinciri güvenlik açığı, saldırı sınıfı bu, kullanımdan kaldırılan kuruluşları veya kullanıcı adlarını devralmayı ve kötü amaçlı kod çalıştırmak için depoların truva atı uygulanmış sürümlerini yayınlamayı mümkün kılar.
Araştırmacılar İlay Goldman ve Yakir Kadkoda, “Bir depo sahibi kullanıcı adını değiştirdiğinde, eski depodan bağımlılıkları indiren herkes için eski ad ile yeni ad arasında bir bağlantı oluşturulur” dedi. “Ancak, herhangi birinin eski kullanıcı adını oluşturması ve bu bağlantıyı kırması mümkündür.”
Alternatif olarak, bir havuz sahipliği başka bir kullanıcıya devredildiğinde ve orijinal hesap silindiğinde benzer bir senaryo ortaya çıkabilir, böylece kötü bir aktörün eski kullanıcı adıyla bir hesap oluşturmasına izin verilir.
Aqua, bir tehdit aktörünün, herhangi bir genel taahhütle ilişkili GitHub meta verilerini çıkarmak ve benzersiz depoların bir listesini derlemek için istekleri çekmek için GHTorrent gibi web sitelerinden yararlanabileceğini söyledi.
Haziran 2019 ayı için 1,25 milyon depodan oluşan bir alt kümenin analizi, 36.983 kadar havuzun RepoJacking’e karşı savunmasız olduğunu ortaya çıkardı ve bu da %2,95’lik bir başarı oranı anlamına geliyor.
içeren GitHub ile 330 milyondan fazla depobulgular milyonlarca havuzun benzer bir saldırıya karşı savunmasız olabileceğini gösteriyor.
Bu depolardan biri, daha önce Google tarafından 2018’de satın alınan bir şirket olan Socratic’nın (socraticorg/mathsteps) mülkiyetinde olan google/mathsteps’tir.
Araştırmacılar, “https://github.com/socraticorg/mathsteps’e eriştiğinizde, https://github.com/google/mathsteps’e yönlendiriliyorsunuz, böylece kullanıcı sonunda Google’ın deposunu getirecek” dedi.
“Ancak, socraticorg organizasyonu mevcut olduğu için, bir saldırgan socraticorg/mathsteps deposunu açabilir ve Google’ın talimatlarını izleyen kullanıcılar bunun yerine saldırganın deposunu klonlayabilir. Ve npm kurulumu nedeniyle bu, kullanıcılar üzerinde rasgele kod yürütülmesine yol açacaktır.”
Bu tür kaygılar ilk kez dile getirilmiyor. Ekim 2022’de GitHub, popüler depo ad alanının kullanımdan kaldırılmasını engelleyerek kötü amaçlı depolar oluşturmak ve tedarik zinciri saldırıları düzenlemek için kullanılmış olabilecek bir güvenlik boşluğunu kapatmak için harekete geçti.
Bu tür riskleri azaltmak için, kullanıcıların harici GitHub havuzlarından kaynakları alıyor olabilecek bağlantılar için kodlarını düzenli aralıklarla incelemeleri önerilir.
Araştırmacılar, “Kuruluşunuzun adını değiştirirseniz, saldırganların oluşturmasını önlemek için yer tutucu olarak bile eski adın size ait olduğundan emin olun” dedi.