GitHub-ontwikkelaar James Tucker wees erop dat de kloonrepositories met de kwaadaardige URL de omgevingsvariabele van een gebruiker hebben geïnfiltreerd en ook een achterdeur met één regel bevatten.
Op woensdag 3 augustus kreeg het populaire ontwikkelaarsplatform GitHub te maken met een grote wijdverbreide malware-aanval met meer dan 35,000 "codehits" op één dag. Interessant is dat dit precies gebeurt op de dag dat meer dan 8000 Solana-wallets werden gecompromitteerd.
GitHub-ontwikkelaar Stephen Lucy rapporteerde zelf over de wijdverbreide aanval. De ontwikkelaar kwam dit probleem tegen tijdens het beoordelen van een project. Kanten schreef:
"Ik ontdek wat een massale wijdverbreide malware-aanval lijkt te zijn op @github. - Momenteel meer dan "codehits" op github. Tot nu toe gevonden in projecten, waaronder: crypto, golang, python, js, bash, docker, k8s. Het wordt toegevoegd aan npm-scripts, docker-images en installatiedocumenten.”
De recente aanval op Github heeft een groot aantal projecten uitgebuit, waaronder crypto, Golang, Python, JavaScript, Bash, Docker en Kubernetes. De malware-aanval is specifiek gericht op installatiedocumenten, NPM-scripts en docker-images. Het is een handiger manier om veelgebruikte shells-opdrachten voor de projecten te bundelen.
De aard van de malware-aanval op Github
Om toegang te krijgen tot kritieke gegevens en ontwikkelaars te ontwijken, maakt de aanvaller eerst een neprepository. Vervolgens duwt de aanvaller klonen van legitieme projecten naar GitHub. Volgens het onderzoek pushte de aanvaller verschillende van deze kloonrepositories als "pull-verzoeken".
Een andere GitHub-ontwikkelaar James Tucker wees erop dat de kloonbronnen met de kwaadaardige URL de omgevingsvariabele van een gebruiker hebben geïnfiltreerd en ook een achterdeur met één regel bevatten. Het exfiltreren van een omgeving kan bedreigingsactoren een aantal essentiële geheimen verschaffen. Dit omvat Amazon AWS-inloggegevens, API-sleutels, tokens, cryptosleutels, enz.
Maar door de one-liner backdoor kunnen aanvallers op afstand de willekeurige code uitvoeren op systemen van iedereen die het script op hun computers uitvoert. Volgens Bleeping-computers waren er afwijkende resultaten met betrekking tot de tijdlijn van de activiteit.
De aanvallers hadden de afgelopen maand een grote meerderheid van repositories met kwaadaardige code gewijzigd. GitHub heeft een paar uur geleden enkele kwaadaardige codes van zijn platform verwijderd. In een update op woensdag, GitHub bekend:
“GitHub onderzoekt de Tweet die is gepubliceerd op woensdag 3 augustus 2022: * Er zijn geen repositories gecompromitteerd. * Schadelijke code is gepost op gekloonde repositories, niet op de repositories zelf. * De klonen werden in quarantaine geplaatst en er was geen duidelijk compromis van GitHub of onderhoudsaccounts.”
Lees ander technisch nieuws op onze website.
volgende
Bhushan is een FinTech-liefhebber en heeft een goed gevoel voor financiële markten. Zijn interesse in economie en financiën vestigt zijn aandacht op de nieuwe opkomende markten voor Blockchain-technologie en Cryptocurrency. Hij is continu in een leerproces en blijft gemotiveerd door het delen van zijn verworven kennis. In zijn vrije tijd leest hij thrillerfictionboeken en onderzoekt hij soms zijn culinaire vaardigheden.
Bron: https://www.coinspeaker.com/github-malware-attacks-35000-code/