Bilgisayar korsanları, meşru açık kaynaklı yazılım (OSS) projelerinden geliyor gibi görünen kimlik avı bağlantıları oluşturmak için yayınlanmamış GitHub ve GitLab yorumlarını kullanıyor.
İlk olarak geçen ay Açık Analiz’den Sergei Frankoff tarafından açıklanan akıllıca hile, herkesin diledikleri herhangi bir deponun kimliğine bürünmek o deponun sahiplerinin bundan haberi olmadan. Ve sahipleri bunu bilseler bile bunu durdurmak için hiçbir şey yapamazlar.
Konuya ilişkin örnek: Bilgisayar korsanlarının bu yöntemi zaten kötüye kullandım dağıtmak Redline Stealer Truva AtıMcAfee’ye göre Microsoft’un GitHub tarafından barındırılan “vcpkg” ve “STL” depolarıyla ilişkili bağlantıları kullanıyor. Frankoff bağımsız olarak söz konusu kampanyada kullanılan aynı yükleyiciyi içeren daha fazla vaka keşfetti ve Bleeping Computer etkilenen ek bir depo olan “httprouter”ı buldu.
Bleeping Computer’a göresorun hem 100 milyondan fazla kayıtlı kullanıcıya sahip bir platform olan GitHub’u hem de 30 milyondan fazla kullanıcıya sahip en yakın rakibi GitLab’ı etkiliyor.
Tespit Edilemeyen, Durdurulamayan, İnandırılabilir Kimlik Avı Bağlantıları
GitHub ve GitLab’daki bu dikkate değer kusur muhtemelen akla gelebilecek en sıradan özellikte yatmaktadır.
Geliştiriciler genellikle bir OSS proje sayfasına yorum bırakarak önerilerde bulunur veya hataları bildirirler. Bazen böyle bir yorum bir dosyayı içerebilir: bir belge, bir ekran görüntüsü veya başka bir medya.
GitHub ve GitLab’ın içerik dağıtım ağlarına (CDN’ler) bir yorumun parçası olarak bir dosya yüklenecekse, yoruma otomatik olarak bir URL atanır. Bu URL, yorumun ait olduğu projeyle gözle görülür şekilde ilişkilidir. Örneğin GitLab’da yorumla birlikte yüklenen bir dosya aşağıdaki formatta bir URL kazanır: https://gitlab.com/{project_group_name}/{repo_name}/uploads/{file_id}/{file_name}.
Bilgisayar korsanlarının anladığı şey, bunun kötü amaçlı yazılımları için mükemmel bir koruma sağladığıdır. Örneğin, RedLine Stealer için bir kötü amaçlı yazılım yükleyicisini bir Microsoft deposuna yükleyebilir ve karşılığında bir bağlantı alabilirler. Kötü amaçlı yazılım barındırmasına rağmen, herhangi bir izleyiciye gerçek bir Microsoft repo dosyasına meşru bir bağlantı gibi görünecektir.
Ama hepsi bu değil.
Bir saldırgan bir depoya kötü amaçlı yazılım gönderirse, o deponun veya GitHub’un sahibinin bunu tespit edip ele alacağını düşünürsünüz.
O halde yapabilecekleri, yorumu yayınlamak ve ardından hızla silmektir. URL çalışmaya devam eder ve dosya yine de sitenin CDN’sine yüklenmiş olarak kalır.
Veya daha da iyisi: Saldırgan, başlangıçta yorumu yayınlayamaz. Hem GitHub hem de GitLab’da, devam eden bir yoruma dosya eklendiğinde otomatik olarak çalışan bir bağlantı oluşturulur.
Bu sıradan tuhaflık sayesinde bir saldırgan, istediği herhangi bir GitHub deposuna kötü amaçlı yazılım yükleyebilir, bu depoyla ilişkili bir bağlantıyı geri alabilir ve yorumu yayından kaldırabilir. Bunu istedikleri kadar kimlik avı saldırılarında kullanabilirler, kimliğine bürünen marka ise böyle bir bağlantının ilk etapta oluşturulduğuna dair hiçbir fikre sahip olmayacaktır.
Bağlantılara Güvenmeyin
Meşru depolara bağlanan kötü amaçlı URL’ler, kimlik avı saldırılarına güven verir ve tam tersine tehdit oluşturur. utandırmak ve güvenilirliği zayıflatmak taklit edilen tarafın.
Daha da kötüsü: hiçbir başvuruları yok. Bleeping Computer’a göre, sahiplerin projelerine eklenen dosyaları yönetmesine izin veren bir ayar yok. Yorumları geçici olarak devre dışı bırakabilir, aynı zamanda hata raporlamayı ve toplulukla işbirliğini engelleyebilirler ancak kalıcı bir düzeltme yoktur.
Dark Reading hem GitHub’a hem de GitLab’a ulaşarak bu sorunu çözmeyi planlayıp planlamadıklarını ve bunun nasıl yapılacağını sordu. Birisi şöyle cevap verdi:
“GitHub, bildirilen güvenlik sorunlarını araştırmaya kararlıdır. Kullanıcı hesaplarını ve içeriğini, şu hükümlere uygun olarak devre dışı bıraktık: GitHub’ın Kabul Edilebilir Kullanım PolitikalarıBir GitHub temsilcisi, bir e-postada şunları söyledi: “GitHub’ın ve kullanıcılarımızın güvenliğini artırmak için yatırım yapmaya devam ediyoruz ve teknik zarara neden olan kötü amaçlı yazılım kampanyalarını veya yasa dışı aktif saldırıları doğrudan destekleyen içeriğin yayınlanmasını yasaklayan bir uygulamadır.” bu aktiviteye karşı daha iyi korunun. Kullanıcıların, resmi olarak yayımlanan yazılımın nasıl indirileceğine ilişkin bakımcılar tarafından sağlanan talimatları izlemelerini öneririz. Bakımcılar yararlanabilir GitHub Sürümleri veya yazılımı kullanıcılarına güvenli bir şekilde dağıtmak için paket ve yazılım kayıtları içindeki süreçleri yayınlayın.”
GitLab yanıt verirse Dark Reading hikayeyi güncelleyecektir. Bu arada kullanıcıların dikkatli davranması gerekiyor.
Sectigo’nun üründen sorumlu kıdemli başkan yardımcısı Jason Soroko, “GitHub URL’sinde güvenilir bir satıcının adını gören geliştiriciler, tıkladıkları şeyin güvenli ve meşru olduğuna genellikle güveneceklerdir” diyor. “URL öğelerinin kullanıcılar tarafından nasıl anlaşılmadığına veya güvenle pek bir ilgisinin bulunmadığına dair pek çok yorum yapıldı. Ancak bu, URL’lerin önemli olduğunu ve hatalı güven yaratma kapasitesine sahip olduğunu gösteren mükemmel bir örnek.
“Geliştiricilerin GitHub veya başka herhangi bir depoyla ilişkili bağlantılarla ilişkilerini yeniden düşünmeleri ve tıpkı bir e-posta ekinde olduğu gibi incelemeye biraz zaman ayırmaları gerekiyor.”
