Les acteurs malveillants utilisent depuis longtemps le typosquatting comme moyen d’inciter les utilisateurs sans méfiance à visiter des sites Web malveillants ou à télécharger des logiciels et des packages piégés.
Ces attaques impliquent généralement l’enregistrement de domaines ou de packages avec des noms légèrement modifiés par rapport à leurs homologues légitimes (par exemple, goog1e.com contre google.com).
Les adversaires ciblant les référentiels open source sur toutes les plateformes se sont appuyés sur les erreurs de frappe des développeurs pour lancer des attaques sur la chaîne d’approvisionnement de logiciels via PyPI, npm, Maven Central, NuGet, RubyGems et Crate.
Les dernières découvertes de la société de sécurité cloud Orca montrent que même Actions GitHubune plateforme d’intégration continue et de livraison continue (CI/CD), n’est pas à l’abri de la menace.
« Si les développeurs font une faute de frappe dans leur action GitHub qui correspond à l’action d’un typosquatteur, les applications pourraient être amenées à exécuter du code malveillant sans même que le développeur ne s’en rende compte », a déclaré le chercheur en sécurité Ofir Yakobi. dit dans un rapport partagé avec The Hacker News.
L’attaque est possible car n’importe qui peut publier une action GitHub en créant un compte GitHub avec un compte de messagerie temporaire. Étant donné que les actions s’exécutent dans le contexte du référentiel d’un utilisateur, une action malveillante pourrait être exploitée pour altérer le code source, voler des secrets et l’utiliser pour diffuser des logiciels malveillants.
Tout ce que cette technique implique pour l’attaquant est de créer des organisations et des référentiels avec des noms qui ressemblent étroitement à des actions GitHub populaires ou largement utilisées.
Si un utilisateur fait des fautes d’orthographe par inadvertance lors de la configuration d’une action GitHub pour son projet et que cette version mal orthographiée a déjà été créée par l’adversaire, le flux de travail de l’utilisateur exécutera l’action malveillante au lieu de celle prévue.
« Imaginez une action qui exfiltre des informations sensibles ou modifie le code pour introduire des bugs subtils ou des portes dérobées, affectant potentiellement toutes les futures versions et déploiements », a déclaré Yakobi.
« En fait, une action compromise peut même exploiter vos informations d’identification GitHub pour appliquer des modifications malveillantes à d’autres référentiels au sein de votre organisation, amplifiant ainsi les dommages sur plusieurs projets. »
Orca a déclaré qu’une recherche sur GitHub a révélé jusqu’à 198 fichiers qui invoquent « action/checkout » ou « actons/checkout » au lieu de «actions/paiement » (notez les « s » et « i » manquants), mettant tous ces projets en péril.
Cette forme de typosquatting est attrayante pour les acteurs malveillants car il s’agit d’une attaque à faible coût et à fort impact qui pourrait entraîner de puissants compromis dans la chaîne d’approvisionnement en logiciels, affectant plusieurs clients en aval à la fois.
Il est conseillé aux utilisateurs de vérifier les actions et leurs noms pour s’assurer qu’ils référencent la bonne organisation GitHub, de s’en tenir aux actions provenant de sources fiables et d’analyser périodiquement leurs flux de travail CI/CD pour détecter les problèmes de typosquatting.
« Cette expérience montre à quel point il est facile pour les attaquants d’exploiter le typosquatting dans GitHub Actions et l’importance de la vigilance et des meilleures pratiques pour prévenir de telles attaques », a déclaré Yakobi.
« Le problème est encore plus inquiétant, car nous ne mettons ici en évidence que ce qui se passe dans les dépôts publics. L’impact sur les dépôts privés, où les mêmes fautes de frappe pourraient conduire à de graves failles de sécurité, reste inconnu. »