ClickCease Les dépôts GitHub victimes d'une attaque de la chaîne d'approvisionnement                

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Les dépôts GitHub victimes d'une attaque de la chaîne d'approvisionnement                

Wajahat Raja

12 octobre 2023 - L'équipe d'experts de TuxCare

Dans un paysage numérique truffé de vulnérabilités, un phénomène récent et déconcertant a été mis en lumière. Les dépôts GitHubà la base de nombreux projets logiciels, ont été victimes d'une attaque sournoise de la chaîne d'approvisionnement. Cette attaque bien planifiée d'approvisionnement bien planifiée contre les dépôts GitHuba été découverte en juillet 2023a impliqué le piratage de comptes GitHub ainsi que l'introduction secrète de code nuisible déguisé en contributions Dependabot.

Alors que nous entrons dans la complexité de ce danger, nous mentionnerons un produit connexe de TuxCare, qui fournit une méthode pour renforcer les dépendances de votre bibliothèque Java.

 

L'attaque de la chaîne d'approvisionnement des dépôts GitHub dévoilée

 

Cette activité malveillante, qui s'apparente à une attaque de la chaîne d'approvisionnementa commencé lorsque des chercheurs en cybersécurité ont découvert des modifications inhabituelles dans des centaines de dépôts publics et privés. Ces commits prétendaient être de véritables contributions de Dependabot, ce qui a induit en erreur des développeurs peu méfiants. Lorsque défense contre les Dependabots malveillants dans les projets GitHubil est crucial d'être conscient des des risques de sécurité et des vulnérabilités de la chaîne d'approvisionnement de GitHubIl est essentiel d'être conscient des risques de sécurité et des vulnérabilités de la chaîne d'approvisionnement de GitHub, en particulier à la lumière des récents incidents impliquant des robots malveillants.

Dependabot est un outil fiable de l'écosystème GitHub et joue un rôle important dans l'analyse des projets pour détecter les dépendances vulnérables. Il génère automatiquement des demandes de mise à jour de ces dépendances, assurant ainsi la sécurité et la stabilité du projet.

 

Intentions malveillantes

 

Cependant, les auteurs de cette campagne malveillante avaient d'autres projets. Leur objectif était de voler des informations sensibles, en particulier des mots de passe, aux développeurs. Le logiciel malveillant a secrètement transféré les secrets du projet GitHub vers un faux serveur de commande et de contrôle. Simultanément, il a modifié les fichiers JavaScript existants dans les dépôts ciblés, en injectant un code malveillant dans un formulaire web de vol de mot de passe. Ce code était à l'affût pour capturer les mots de passe saisis par des utilisateurs peu méfiants.

Infiltration et usurpation d'identité

 

L'attaque a commencé par l'acquisition de jetons d'accès personnels à GitHub, une opération qui est passée inaperçue. Avec ces jetons en main, les acteurs de la menace ont utilisé des scripts automatisés pour créer des messages de livraison avec le terme "fix", qui fait allusion au compte d'utilisateur "dependabot[bot]". Ces faux ont servi de point d'entrée pour l'injection de code malveillant dans les dépôts, donnant ainsi le coup d'envoi à leur stratégie d'infiltration.

Les secrets de l'exfiltration

 

L'introduction d'un fichier d'action GitHub nommé "hook.yml" a facilité la récupération des secrets du projet. Chaque fois que le code était poussé vers le dépôt impacté, ce fichier lançait une nouvelle procédure. Cette approche a permis d'exposer les secrets au serveur de commande et de contrôle hostile de manière invisible.

Vol de mot de passe

 

Le composant de vol de mot de passe, quant à lui, injecte secrètement du JavaScript obscurci dans des fichiers JavaScript (.js). fichiers JavaScript (.js)qui récupéraient ensuite un script distant. Ce script distant surveillait les soumissions de formulaires, recueillant les mots de passe chaque fois que les utilisateurs les saisissaient dans les champs de saisie "mot de passe".

 

La portée de cette attaque est ce qui la rend si dangereuse. De nombreux tokens compromis ont permis d'accéder à des dépôts GitHub publics et privés, ce qui a eu un impact important sur les dépôts GitHub. Identifier et atténuer les menaces liées à Dependabot est essentiel pour protéger vos dépôts GitHub des attaques potentielles.

Le mystère du vol de jetons

 

Malgré des recherches approfondies, la technique spécifique par laquelle les attaquants ont volé ces jetons reste un mystère. Une explication possible est qu'une infection par un logiciel malveillant, probablement transmise par un paquet malveillant, a entraîné l'exfiltration des jetons d'accès personnels (PAT) stockés localement sur les machines des développeurs. Les PAT, en particulier, permettent d'accéder à GitHub sans avoir besoin d'une authentification à deux facteurs (2FA).

Il est surprenant de constater que la majorité des personnes compromises étaient originaires d'Indonésie, ce qui laisse supposer qu'il s'agissait d'une opération ciblée visant spécifiquement ce groupe démographique. Toutefois, la méthode utilisée reste inconnue. Renforcer la sécurité du dépôt GitHub après une attaque de la chaîne d'approvisionnement devient primordial pour prévenir les vulnérabilités futures.

Une vision plus large

 

Cet événement met en lumière les efforts déployés par les acteurs de la menace pour déstabiliser les écosystèmes de logiciels libres. écosystèmes de logiciels libres et compromettre les chaînes d'approvisionnement en logiciels. Dans le même ordre d'idées, une campagne d'exfiltration de données ciblant npm et PyPI a été identifiée. Cette campagne utilise un faux logiciel pour collecter des données informatiques sensibles et les envoyer à un serveur distant. Ces événements soulignent l'importance de procédures de sécurité rigoureuses au sein de la communauté des logiciels libres.

La chaîne sécurisée Java de TuxCare : Une solution tangentielle

 

Notre produit innovant, Java Secure Chainfournit un référentiel de bibliothèques Java qui ont été testées de manière approfondie pour détecter les vulnérabilités. Il fournit des correctifs pour les faiblesses connues, garantissant que vous disposez d'un référentiel pour vos dépendances sur lequel vous pouvez compter. Alors que l'industrie du logiciel est confrontée à des difficultés au niveau de la chaîne d'approvisionnement, des solutions telles que Java Secure Chain offrent une protection contre les vulnérabilités potentielles des dépendances des bibliothèques Java.

Conclusion

 

Enfin, l'infiltration des dépôts GitHub par des usurpations d'identité malveillantes de Dependabot constitue un avertissement clair des menaces croissantes qui pèsent sur l'arène numérique. Les attaques contre la chaîne d'approvisionnement continuent d'être un problème dans le monde du développement logiciel. Face à ces défis, nous devons la mise en œuvre de solutions sécurisées peut renforcer nos défenses et offrir à tous un environnement logiciel plus sûr et plus résistant.

La vigilance et les mesures de sécurité proactives sont nos alliés les plus puissants dans cet écosystème numérique en constante évolution. Explorer les meilleures pratiques pour la protection de la chaîne d'approvisionnement sur GitHub pour protéger de manière proactive vos projets contre les menaces émergentes.

Soyons prudents et travaillons ensemble pour protéger nos entreprises numériques de la menace omniprésente des menaces pesant sur la chaîne d'approvisionnement.

Les sources de cet article comprennent des articles dans Bleeping Computer et The Hacker News.

 

Résumé
Les dépôts GitHub victimes d'une attaque de la chaîne d'approvisionnement                
Nom de l'article
Les dépôts GitHub victimes d'une attaque de la chaîne d'approvisionnement                
Description
Restez informé de la dernière attaque de la chaîne d'approvisionnement sur les dépôts GitHub où des Dependabots malveillants ciblent votre code. Soyez vigilants !
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information