image


  Rapport Xinzhiyuan  

Editeur : David
[Nouveau guide Zhiyuan] Le lanceur d'alerte a déclaré sur Twitter qu'il avait signalé à Github et rappelé à tout le monde de ne pas installer de packages étranges. À l'heure actuelle, la plupart des clones malveillants ont été officiellement supprimés.

Github a de nouveau été attaqué par malveillance ? Ou une attaque massive impliquant un référentiel de 35 000 ?
 
La nouvelle n'est pas officielle et a été tweetée par l'utilisateur de Twitter @Stephen Lacy.
 
image
 
Selon des informations personnelles, Stephen Lacy est un ingénieur logiciel, engagé dans la cryptographie et l'open source, et un développeur de jeux qui a développé un jeu appelé "PlayGodfall".
 
image
 
Il prétend avoir découvert des attaques malveillantes à grande échelle sur Github. Plus de 35 000 référentiels ont été infectés jusqu'à présent.
 
(il l'a corrigé peu de temps après, plus de 35 000 "extraits" ont été infectés, pas le référentiel)
 
Lacy a déclaré qu'à l'heure actuelle, des référentiels bien connus, notamment crypto, golang, python, js, bash, docker, k8s, sont concernés, notamment les scripts NPM, les images Docker et les fichiers d'installation.
 
image
 
Il a déclaré qu'à l'heure actuelle, ces commits malveillants semblaient inoffensifs et que les noms ressemblaient à des mises à jour de version de routine.
 
image
 
À partir des enregistrements de modifications historiques du référentiel, certains commits proviennent du propriétaire du référentiel d'origine, certains montrent que l'utilisateur n'existe pas et certains appartiennent au référentiel archivé.
 
En ce qui concerne la méthode d'attaque, l'attaquant téléchargera une variété d'informations cryptées dans la bibliothèque sur son propre serveur, y compris des clés de sécurité, des clés d'accès AWS, des clés de cryptage, etc.
 
image
 
Une fois téléchargé, un attaquant peut exécuter du code arbitraire sur votre serveur.
 
Cela semble effrayant, n'est-ce pas?
 
En plus de voler des informations cryptées, l'attaquant construira également un faux lien de référentiel et soumettra un clone à Github sous la forme d'un référentiel légitime, rejetant ainsi la faute sur l'auteur original du référentiel.
 
image
 
Lacy a déclaré que ces vulnérabilités et attaques ont été découvertes lorsqu'il a parcouru un projet qu'il a trouvé via une recherche Google, donc la première chose à laquelle il faut faire attention est de ne pas installer de paquet étrange trouvé sur Internet.
 
De plus, le meilleur moyen d'empêcher la triche est d'utiliser des signatures cryptées GPG.
 
À l'heure actuelle, Lacy a déclaré qu'il avait signalé ses découvertes à Github et qu'il n'y avait pas eu de réponse officielle de Github.

 

 

image

Aux dernières nouvelles, selon BleepingComputer, Github a supprimé la plupart des référentiels contenant du contenu malveillant après avoir reçu des rapports d'incidents malveillants.

 

Selon le site, en effet, les 35 000 dépôts d'origine n'ont pas été « piratés », mais ont plutôt été clonés avec du contenu malveillant. Des milliers de portes dérobées sont ajoutées aux copies de projets légitimes normaux (forks ou clones) dans le but de diffuser des logiciels malveillants.


Références:
https://twitter.com/stephenlacy/status/1554697077430505473
https://www.bleepingcomputer.com/news/security/35-000-code-repos-not-hacked-but-clones-flood-github-to-serve-malware/
image


image