Yazılım uzmanları bugün, “Pl0xP” adlı bir bilgisayar korsanının çok sayıda GitHub deposunu klonladığını ve meşru projeleri taklit etmek için yazım hatası yapma çabasıyla klonlanan depo adlarını hafifçe değiştirdiğini söyledi.
Yazılım mühendisi Stephen Lacy sabahın erken saatlerinde Twitter’da yaptığı bir gönderide, yaygın klonlamanın farklı kod havuzlarına 35.000’den fazla kötü amaçlı URL eklenmesiyle sonuçlandığını, ancak etkilenen yazılım projelerinin tam sayısının muhtemelen çok daha küçük olduğunu belirtti. Bağımlılık karışıklığının bir çeşidi olan saldırı, yazılım kaynağının yeterli doğrulaması olmadan sahte GitHub depolarını kullanan geliştiriciler için sorunlara neden olabileceğini söyledi.
İçe aktarılırsa, kötü amaçlı kod, Lacy’ye göre sistemde kod yürütür. “Bu saldırı, komut dosyasının, uygulamanın, dizüstü bilgisayarın (elektron uygulamalarının) TÜM ENV’sini saldırganın sunucusuna gönderecek! ENV’ler şunları içerir: Güvenlik anahtarları; AWS erişim anahtarları; Kripto anahtarları… çok daha fazlası.”
“ENV’ler”, geliştiricilerin iş akışlarında başvurmak istedikleri bilgileri depolamak için kullanılan ortam değişkenleridir.
Lacy, yazılım mühendisinin kendi projesine dahil etmeyi düşündüğü bir yazılım kitaplığını denetlediğinde kötü amaçlı işlevselliği bulduğunu söyledi.
“Bir Google aramasında bulduğum bir projeyi incelerken bu açığı keşfettim” tweet attı. “Bu yüzden internetten rastgele paketler kurmuyoruz!”
Klonlama – veya “çatallama” – yeni bir kötü amaçlı teknik değildir, ancak zor bir tekniktir.
Aqua Security yazılım mühendisi Mor Weinberg, “Kötü aktörler, kötü niyetli kodlarla klonlanmış/çatallanmış popüler depolar oluşturmak için geçmişte zaten biliniyordu” diyor. “Klonlanmış depolar, orijinal yazarların kullanıcı adları ve e-posta adresleri ile kod taahhütlerini tutabileceğinden, orijinal proje yazarları tarafından daha yeni taahhütlerin yapıldığına dair yanıltıcı bir izlenim verdiğinden, bunu tespit etmek oldukça zor olabilir. Orijinal proje yazarlarının GPG anahtarları, kodun gerçekliğini doğrulamanın bir yoludur.”
ArmorCode ürün başkan yardımcısı Mark Lambert, “Bu … birinin ‘sahte’ bir web sitesi kurmasına veya kimlik avı e-postası göndermesine benziyordu” diye ekliyor. “Bu, dikkat etmeyen insanları yakalayacak.”
Saldırı mı Meşru Araştırma mı?
GitHub’daki bu toplu çatallanma gerçek bir saldırı olmayabilir. Konu hakkında bilgi sahibi olduğunu iddia eden bir kişi, yaygın yazım yanlışını meşru bir araştırma çabası olarak konumlandırdı.
“Bu sadece bir bug-ödül çabası. Zarar verilmedi. Rapor yayınlanacak” “pl0x_plox_chiken_p0x” adlı Twitter kullanıcısı 3 Ağustos’ta tweet attı.
Kötü tasarlanmış bir araştırma projesi saldırıyı açıklayabilirken, araştırma için binlerce kod değişikliği oluşturmak mantıksız derecede riskli görünüyor. Ayrıca, Twitter kullanıcısı hesabı yalnızca önceki üç gün içinde kaydetmişti – kısa hesap ömürleri genellikle dolandırıcı çevrimiçi kişilerin bir özelliğidir.
Yazılım güvenlik firması Checkmarx’ın tedarik zinciri güvenlik mühendisliği başkanı Jossef Harush, Dark’a verdiği demeçte, saldırının bir hata ödülünün parçası olduğu iddiasının “kanıtlanmayı bekliyor, çünkü faaliyet kötü niyetli bir kişinin özelliklerini taşıyor” dedi. Okuma.
Her halükarda, bug-bounty platformu Bugcrowd’un güvenlik operasyonlarından sorumlu kıdemli direktörü Michael Skelton, en azından orijinal kod depolarının etkilenmediğini belirtiyor.
“Pl0xP’nin hata-ödül bulgusunun doğasının ne olacağı belli olmasa da (sosyal mühendislik neredeyse tüm hata-ödül programlarının kapsamı dışında olduğundan), bir dizi depoyu klonlamış ve bu klonlarda değişiklik yapmış gibi görünüyorlar. sadece – hiçbir durumda bu değişiklik klonlanmış orijinal depolara girmedi” diyor. “Bir havuzun klonlanması, sahibi burada yapılmamış olan bir değişikliği (bir çekme isteği aracılığıyla istenen) birleştirmedikçe, orijinal depoyu etkilemeyen standart bir eylemdir.”
Kötü Amaçlı Yazılım Bağımlılıkları Boldur
GitHub görünüşte kötü niyetli kod taahhütlerini temizledi ve 3 Ağustos öğleden sonra, gömülü hatalı URL için yapılan bir arama sıfır sonuç verdi. Yine de saldırı, açık kaynak projelerinin saldırganlarla uğraşmak zorunda kaldığı ilk sefer değil. Yazılım tedarik zincirine yönelik saldırıların sayısı, esas olarak, saldırganın geliştiricilerin istenen bir kitaplığın adını yanlış yazması umuduyla bir açık kaynak kod bloğunun neredeyse aynı adlı bir sürümünü kullandığı bağımlılık-karışıklık saldırıları nedeniyle 2021’de %650 arttı. veya isimlendirmedeki küçük farkı fark etmemek.
Depoları kötü niyetli, yanlış adlandırılmış projelerle tohumlamak, saldırganın bazı temel çalışmaları yapmasını gerektirir. Temmuz ayında, yazılım güvenlik firması Checkmarx, GitHub’da, güvenilirliklerini artırmak için aktif bir kod taahhütleri geçmişiyle birlikte sahte geliştirici hesapları oluşturmanın bir yolunu açıkladı. Harush, tekniğin en son saldırıyla birlikte, bakımcıların yalnızca imzalanmış kod taahhütlerini kabul etmek için adımlar atması gerektiğinin altını çizdiğini söylüyor. Geliştiricilerin “şüpheli doğrulanmamış taahhütlere sahip olan çekme taleplerine ve katkılara dikkat etmesi gerekir. [and need to] gözden geçirin … taahhüt mesajındaki feragatname ile karşılaştırıldığında katkıların içeriği ve katkının bir parçası olarak benzer adlandırılmış bağımlılıklara mevcut bağımlılıkları ekleyen veya değiştiren katkılar” diye ekliyor.
Güvenmeyin, Doğrulayın
Projelerinin zehirlenmesini önlemek için, bakımcılar ve geliştiriciler yalnızca kendileri tarafından bilinen ve kapsamlı ve doğrulanabilir bir taahhüt geçmişine sahip olan katkıda bulunanlara güvenmelidir. Harush, hesaplarını güvence altına almak için dijital imzalar ve çok faktörlü kimlik doğrulama gibi mevcut araçları da kullanmaları gerektiğini söylüyor.
“Yabancılardan gelen şekerlere güvenmemeniz gerektiği gibi – yabancılardan gelen kodlara da güvenmeyin” diyor. “Kullanıcılar, aday projeyi değerlendirirken kandırılabilir ve meşru olduklarını düşünebilir, [so] yerel geliştirme bilgisayarlarında kullanırlar, ortamlar oluştururlar, üretim ortamları oluştururlar ve hatta yazılımlar oluştururlar, [until finally executing something malicious] müşterilerin üzerinde [systems]”
Checkmarx’ın Temmuz ayında, kimlik bilgilerinin yanıltıcılığına ilişkin danışma belgesinde ve git komut satırı yardımcı programı olan şirket, kötü niyetli kişiler kendilerini bilinen katkıda bulunanlar olarak gizlediğinde yazılım projelerinin risklerinin altını çizdi. Bu, “projenin güvenilir görünmesini sağlar” firma belirtti. “Bu taahhüt sahteciliğini daha da endişe verici yapan şey, sahtecilik yapılan kullanıcının bilgilendirilmemesi ve adının kullanıldığını bilmemesidir.”
Checkmarx, GitHub’ın katkıda bulunanın kimliğini doğrulamak için kod taahhütleri için dijital imzalar eklediğini, ancak proje yürütücülerinin GitHub’ın her taahhüdün ve katkıda bulunanların doğrulama durumunun ayrıntılarını gösteren bir özelliği olan “uyanık modu” etkinleştirmesi gerektiğini belirtti.
Harush, en azından geliştiricilerin ve proje yürütücülerinin zaman zaman taahhüt kayıtlarını gözden geçirmeleri ve diğer bakıcılarından GPG imzalı taahhütleri etkinleştirmelerini istemeleri gerektiğini söylüyor. “İmzalı bir taahhüt günlüğüne alışmak, doğrulanmamış katkılara dikkat etmenize fayda sağlayacaktır.”
Yorum için GitHub’a hemen ulaşılamadı.
