Доверенные репозитории GitHub содержат вредоносный код

Исследователи безопасности Checkmarx предупредили о новой тактики атак на цепочку поставок , включающей фальсификацию метаданных коммитов, чтобы представлять вредоносные репозитории GitHub как заслуживающие доверия. Этот метод атаки позволяет злоумышленнику обманом заставить разработчиков использовать вредоносный код.

В системе контроля версий Gut коммиты являются важными элементами, поскольку они фиксируют каждое изменение в документе и тех, кто внес изменения. Более того, каждый коммит имеет уникальный хэш или идентификатор

Исследователи определили, что киберпреступник может изменить метаданные коммитов, чтобы репозиторий выглядел старше, чем есть на самом деле. Также злоумышленник может обмануть разработчиков, продвигая репозитории как надежные (поскольку их поддерживают доверенные участники). Также можно подделать личность коммиттера и приписать фиксацию подлинной учетной записи GitHub.

Исследователи Checkmarx объяснили, что злоумышленник может манипулировать временными метками коммитов на GitHub. Фальшивые коммиты также могут генерироваться автоматически и добавляться в график активности пользователя на GitHub, что позволяет злоумышленнику сделать его активным на платформе в течение длительного времени. График отображает активность в частных и общедоступных репозиториях, что делает невозможным выявление поддельных коммитов. «Этот метод обмана трудно обнаружить», - заявили эксперты.

Злоумышленник может получить идентификатор электронной почты жертвы, который пользователи обычно скрывают в настройках. С помощью определенных команд злоумышленник может заменить исходный email-адрес и имя пользователя поддельной версией в интерфейсе командной строки Git CLI, чтобы улучшить репутацию репозитория.

Пользователь не получит уведомления о том, что его личность используется в злонамеренных целях. Чтобы представить проект как надежный, субъект угрозы может включать известных и уважаемых пользователей в раздел участников репозитория и сделать проект законным и доверенным.

Для предотвращения атаки исследователи Checkmarx призвали разработчиков подписывать свои коммиты и использовать «режим бдительности» ( Vigilant mode ), чтобы обеспечить оптимальную безопасность экосистемы кода. В Vigilant mode отображается статус проверки коммитов, что является защитой против атаки на цепочку поставок.