Ils clonent 35 000 référentiels GitHub et introduisent des logiciels malveillants potentiels

Temps de lecture :2 Minutes, 48 Secondes
Faits marquants:
  • Un ingénieur logiciel a fait la découverte et identifié la plupart des référentiels endommagés

  • GitHub a supprimé tous les référentiels liés à l’attaque.

Un ingénieur logiciel a découvert que 35 000 référentiels GitHub avaient été forkés (clonés) pour inclure des logiciels malveillants.

« Je découvre ce qui semble être une attaque de malware massive et généralisée sur GitHub »indique une publication diffusé aujourd’hui sur Twitter par Stephen Lacy. Selon l’ingénieur, bon nombre des confirmations semblaient inoffensives.

D’autres, au contraire, inclus des commits de l’auteur original sur GitHub, mais aucun n’incluait un commit GPGun type de clé publique cryptographique utilisée pour vérifier que l’origine d’un message est authentique.

Réduisez vos frais d’échanges
Les frais d’échanges peuvent représenter plusieurs centaines de dollars chaque année. Pour cette raison, les bons tradeurs cherchent à les réduire car ils peuvent impacter fortement leurs résultats. Vous aussi vous pouvez le faire grâce aux liens ci-dessous :

Certains dépôts, qui semblait avoir tous les fichiers infectés, montrait des signes de légitimité. Cependant, ils n’avaient reçu aucune PR ni demande d’intégration. Cela prouverait que d’autres développeurs participaient à la programmation d’un certain projet.

Dans un cas précis, l’attaquant a créé un faux référentiel d’un projet d’extraction de crypto-monnaie et a envoyé un clone d’un projet légitime infecté.

Dans ce cas, une redirection vers le projet légitime a été créée, le dépôt infecté a disparu. Source : Stephen Lacy/Twitter.

L’attaque n’a nui à aucun projet légitime

GitHub a supprimé tous les référentiels contenant des éléments suspects après avoir reçu une notification de Stephen Lacydont certains qui semblaient avoir été « mis de côté » en 2019 et 2015.

Il a également été découvert plus tard que aucun projet légitime n’a été modifié de quelque manière que ce soit. Parmi les preuves que nous pouvons citer, il y a une URL que Lacy avait « trouvé dans une recherche Google » lors de la recherche d’un projet open source sur GitHub : hxxp://ovz1.j19544519.pr46m.vps.myjino[.]ru.

L’URL était commune à tous les référentiels clonés et a aidé beaucoup à reconnaître ce qui pouvait être infecté. Si quelqu’un essaie d’accéder à l’un des liens partagés par Stephen Lacy en ce moment, il rencontrera un code d’erreur 404 ou une redirection vers le référentiel légitime.

Écran URL introuvable concernant l'attaque Github
Au moment de la rédaction de cet article, nous avons constaté qu’il ne restait plus de référentiels sur GitHub contenant cette URL : « Nous ne trouvons aucun référentiel compatible ». Source : GitHub.

Comment l’attaque a fonctionné

La pratique consistant à bifurquer un référentiel open source est courante dans le développement. Cependant, cette fois, il y avait une intention cachée.

Le développeur James Tucker a noté que les référentiels clonés contenant l’URL malveillante contenaient une porte dérobée d’une ligne de code, comme l’a rapporté Bleepingcomputer. De plus, ils ont exfiltré les variables d’environnement de l’utilisateur.

Résultats d'URL associés à l'attaque Github
35 788 résultats de recherche incluaient l’URL associée à l’attaque. Source : Bleeping ordinateur.

Filtrage des variables d’environnement peut fournir à l’attaquant des informations de sécurité précieuses. Par exemple, vos clés API, clés cryptographiques, jetons et informations d’identification Amazon AWS.

De son côté, l’instruction sur une seule ligne (ligne 241 ci-dessus) permet aux attaquants distants d’exécuter n’importe quel code arbitraire sur les systèmes des utilisateurs qui installent et exécutent ces clones malveillants.

Bleepingcopter a en outre découvert que sur plus de 35 000 référentiels suspects, 13 000 provenaient d’un référentiel unique appelé « redhat-operator-ecosystem ». Aussi, ils ont déterminé que le délai de création de ces faux dépôts pourrait se situer, dans une plus large mesure, entre six et vingt jours. Bien que certaines confirmations soient aussi anciennes que 2015, vraisemblablement.



Voir l’article original sur www.criptonoticias.com