De nouvelles recherches ont révélé que plus de 15 000 référentiels de modules Go sur GitHub sont vulnérables à une attaque appelée repojacking.
« Plus de 9 000 référentiels sont vulnérables au repojacking en raison des changements de nom d’utilisateur GitHub », Jacob Baines, directeur de la technologie chez VulnCheck, dit dans un rapport partagé avec The Hacker News. « Plus de 6 000 référentiels étaient vulnérables au repojacking en raison de la suppression de comptes. »
Collectivement, ces référentiels représentent pas moins de 800 000 versions de modules Go.
Apprenez à détecter les menaces internes avec les stratégies de réponse des applications
Découvrez comment la détection des applications, la réponse et la modélisation automatisée du comportement peuvent révolutionner votre défense contre les menaces internes.
Le repojacking, un mot-valise de « référentiel » et de « détournement », est une technique d’attaque qui permet à un acteur malveillant de profiter des modifications et des suppressions de nom d’utilisateur de compte pour créer un référentiel portant le même nom et le nom d’utilisateur préexistant pour mettre en scène des logiciels open source. attaques de la chaîne d’approvisionnement logicielle.
Plus tôt en juin, la société de sécurité cloud Aqua a révélé que des millions de référentiels de logiciels sur GitHub sont probablement vulnérables à la menace, exhortant les organisations qui subissent des changements de nom à s’assurer qu’elles possèdent toujours leur ancien nom en tant qu’espace réservé pour éviter de tels abus.
Les modules écrits dans le langage de programmation Go sont particulièrement sensibles au repojacking car contrairement à d’autres solutions de gestion de packages comme npm ou PyPI, ils sont décentralisés du fait qu’ils sont publiés sur des plateformes de contrôle de version comme GitHub ou Bitbucket.
« N’importe qui peut alors demander au miroir du module Go et à pkg.go.dev de mettre en cache les détails du module », a déclaré Baines. « Un attaquant peut enregistrer le nom d’utilisateur nouvellement inutilisé, dupliquer le référentiel du module et publier un nouveau module sur proxy.golang.org et go.pkg.dev. »
Pour empêcher les développeurs de supprimer des packages potentiellement dangereux, GitHub a mis en place une contre-mesure appelée retrait des espaces de noms de référentiels populaires qui bloque les tentatives de création de référentiels avec les noms d’espaces de noms retirés qui ont été clonés plus de 100 fois avant que les comptes des propriétaires ne soient renommés ou supprimé.
Mais VulnCheck a noté que cette protection n’est pas utile lorsqu’il s’agit de modules Go car ils sont mis en cache par le module miroir, évitant ainsi le besoin d’interagir avec ou de cloner un référentiel. En d’autres termes, certains modules populaires basés sur Go pourraient avoir été clonés moins de 100 fois, ce qui entraînerait une sorte de contournement.
« Malheureusement, Go ou GitHub devront s’attaquer à l’atténuation de tous ces repojackings », a déclaré Baines. « Un tiers ne peut raisonnablement pas enregistrer 15 000 comptes GitHub. D’ici là, il est important que les développeurs Go soient conscients des modules qu’ils utilisent et de l’état du référentiel d’où proviennent les modules. »
La divulgation intervient également alors que Lasso Security dit il a découvert 1 681 jetons API exposés sur Hugging Face et GitHub, y compris ceux associés à Google, Meta, Microsoft et VMware, qui pourraient être potentiellement exploités pour organiser la chaîne d’approvisionnement, entraîner l’empoisonnement des données et les attaques de vol de modèles.