Het grote ontwikkelaarsplatform GitHub kreeg te maken met een wijdverbreide malware-aanval en rapporteerde 35,000 "codehits" op een dag waarop duizenden op Solana gebaseerde portefeuilles voor miljoenen dollars werden leeggezogen.
De wijdverbreide aanval werd benadrukt door GitHub-ontwikkelaar Stephen Lucy, die het incident eerder op woensdag voor het eerst meldde. De ontwikkelaar kwam het probleem tegen tijdens het beoordelen van een project dat hij vond op een Google-zoekopdracht.
Ik ontdek wat een massale wijdverbreide malware-aanval lijkt te zijn op @github.
– Momenteel zijn meer dan 35 repositories geïnfecteerd
– Tot nu toe gevonden in projecten, waaronder: crypto, golang, python, js, bash, docker, k8s
- Het wordt toegevoegd aan npm-scripts, docker-afbeeldingen en installatiedocumenten pic.twitter.com/rq3CBDw3r9— Stephen Lacy (@stephenlacy) 3 Augustus 2022
Tot nu toe zijn verschillende projecten - van crypto, Golang, Python, JavaScript, Bash, Docker en Kubernetes - door de aanval getroffen. De malware-aanval is gericht op de docker-images, installatiedocumenten en NPM-script, wat een handige manier is om veelvoorkomende shell-opdrachten voor een project te bundelen.
Om ontwikkelaars te misleiden en toegang te krijgen tot kritieke gegevens, maakt de aanvaller eerst een neprepository (een repository bevat alle projectbestanden en de revisiegeschiedenis van elk bestand) en duwt klonen van legitieme projecten naar GitHub. De volgende twee snapshots tonen bijvoorbeeld dit legitieme crypto-mijnbouwproject en zijn kloon.
Veel van deze kloonrepository's werden gepusht als "pull-verzoeken", waarmee ontwikkelaars anderen kunnen vertellen over wijzigingen die ze naar een branch in een repository op GitHub hebben gepusht.
Zie ook: Nomad negeerde naar verluidt beveiligingslek dat leidde tot misbruik van $ 190 miljoen
Zodra de ontwikkelaar ten prooi valt aan de malware-aanval, wordt de volledige omgevingsvariabele (ENV) van het script, de applicatie of de laptop (Electron-apps) naar de server van de aanvaller gestuurd. De ENV omvat beveiligingssleutels, toegangssleutels van Amazon Web Services, cryptosleutels en nog veel meer.
De ontwikkelaar heeft het probleem gemeld aan GitHub en heeft ontwikkelaars geadviseerd om hun revisies in de repository GPG-ondertekenen. GPG-sleutels voegen een extra beveiligingslaag toe aan GitHub-accounts en softwareprojecten door een manier te bieden om te verifiëren dat alle revisies afkomstig zijn van een vertrouwde bron.
Bron: https://cointelegraph.com/news/github-faces-widespread-malware-attacks-affecting-projects-inclusief-crypto