Des millions de dépôts de logiciels sur GitHub sont probablement vulnérables à une attaque appelée Repojackingune nouvelle étude a révélé.
Cela inclut des référentiels d’organisations telles que Google, Lyft et plusieurs autres, la société de sécurité native du cloud basée dans le Massachusetts Aqua a dit dans un rapport de mercredi.
La vulnérabilité de la chaîne d’approvisionnement, également connue sous le nom de détournement de référentiel de dépendances, est une classe d’attaques qui permet de reprendre des organisations ou des noms d’utilisateurs à la retraite et de publier des versions trojanisées de référentiels pour exécuter du code malveillant.
« Lorsqu’un propriétaire de référentiel change son nom d’utilisateur, un lien est créé entre l’ancien nom et le nouveau nom pour quiconque télécharge des dépendances à partir de l’ancien référentiel », ont déclaré les chercheurs Ilay Goldman et Yakir Kadkoda. « Cependant, il est possible pour n’importe qui de créer l’ancien nom d’utilisateur et de rompre ce lien. »
Alternativement, un scénario similaire pourrait se produire lorsque la propriété d’un référentiel est transférée à un autre utilisateur et que le compte d’origine est supprimé, permettant ainsi à un acteur malveillant de créer un compte avec l’ancien nom d’utilisateur.
Aqua a déclaré qu’un acteur de la menace pourrait exploiter des sites Web comme GHTorrent pour extraire les métadonnées GitHub associées à tout engagement public et tirer des demandes pour compiler une liste de référentiels uniques.
Une analyse d’un sous-ensemble de 1,25 million de référentiels pour le mois de juin 2019 a révélé que pas moins de 36 983 référentiels étaient vulnérables au RepoJacking, ce qui dénote un taux de réussite de 2,95 %.
Avec GitHub contenant plus de 330 millions de référentielsles résultats suggèrent que des millions de référentiels pourraient être vulnérables à une attaque similaire.
L’un de ces référentiels est google/mathsteps, qui appartenait auparavant à Socratic (socraticorg/mathsteps), une société acquise par Google en 2018.
« Lorsque vous accédez à https://github.com/socraticorg/mathsteps, vous êtes redirigé vers https://github.com/google/mathsteps afin que l’utilisateur finisse par récupérer le référentiel de Google », ont déclaré les chercheurs.
« Cependant, comme l’organisation socraticorg était disponible, un attaquant pourrait ouvrir le référentiel socraticorg/mathsteps et les utilisateurs suivant les instructions de Google cloneraient le référentiel de l’attaquant à la place. Et à cause de l’installation de npm, cela conduira à l’exécution de code arbitraire sur les utilisateurs. »
Ce n’est pas la première fois que de telles inquiétudes sont soulevées. En octobre 2022, GitHub a décidé de combler une faille de sécurité qui aurait pu être exploitée pour créer des référentiels malveillants et monter des attaques de la chaîne d’approvisionnement en contournant le retrait de l’espace de noms de référentiel populaire.
Pour atténuer ces risques, il est recommandé aux utilisateurs d’inspecter périodiquement leur code à la recherche de liens susceptibles de récupérer des ressources à partir de référentiels GitHub externes.
« Si vous changez le nom de votre organisation, assurez-vous que vous possédez toujours l’ancien nom, même en tant qu’espace réservé, pour empêcher les attaquants de le créer », ont déclaré les chercheurs.