L' utilisateur de Twitter @Stephen Lacy a découvert une attaque massive de logiciels malveillants d'obfuscation sur GitHub, avec plus de 35 000 référentiels actuellement affectés, y compris des projets bien connus tels que crypto, golang, python, js, bash, docker, k8s, etc.
Ces attaques de logiciels malveillants sont très bien déguisées et ressemblent à des commits anodins avec des messages du type "bump version to 0.3.11":
Certains d'entre eux ont été confondus avec des PR légitimes, mais le référentiel n'a reçu aucun PR, à la place, tous les fichiers go du référentiel ont été infectés :
L'historique de certains de ces référentiels inclut un commit de l'auteur original qui n'a pas été vérifié par GPG, ce qui signifie que le commit a été falsifié par un attaquant. En plus de l'auteur original, le malware peut également prétendre être d'autres développeurs, mais cliquez dessus et vous constaterez que l'utilisateur n'existe pas.
Cette partie de l'attaque malveillante est liée à la vulnérabilité de GiuHub lui-même. Par exemple, nous avons signalé plus tôt que Linus a utilisé la vulnérabilité GitHub pour publier un canular README . L'URL /blob/<faked_commit> publie des commits arbitraires.
Ces attaques envoient l'intégralité de l'ENV des scripts, des applications, des ordinateurs portables (applications électroniques), etc., y compris les identifiants de compte tels que les clés de sécurité, les clés d'accès AWS, les clés de chiffrement, etc., au serveur de l'attaquant. La plupart des commits malveillants ont maintenant été nettoyés, mais de nouveaux sont toujours en cours, et il est recommandé de signer chaque commit à l'aide de GPG.
Liens connexes : https://twitter.com/stephenlacy
FIN
