Μια παραβίαση της αλυσίδας εφοδιασμού που στοχεύει ένα δημοφιλές σενάριο αυτοματισμού GitHub από τις ενέργειες GitHub έχει διακυβεύσει εκατοντάδες έργα ανοιχτού κώδικα, εκθέτοντας τα ευαίσθητα μυστικά CI/CD, όπως το Github Tokens, τα πλήκτρα AWS και τα πιστοποιητικά DockerHub. href=”https://en.wikipedia.org/wiki/ci/cd”target=”_ blank”> Συνεχής παράδοση (CI/CD) Δυνατότητα. Επιτρέπει στους προγραμματιστές να αυτοματοποιήσουν τους αγωγούς κατασκευής, δοκιμής και ανάπτυξης, καθώς και άλλων εργασιών διαχείρισης έργων. STEPSCURITY , ξεκίνησε στις 14 Μαρτίου. Ένας επιτιθέμενος διείσδυσε τον κώδικα «αλλαγμένων αρχείων», εισάγοντας ένα επιβλαβές σενάριο Python. Αυτό το σενάριο αποσκοπούσε στην εξαγωγή ευαίσθητων διαπιστευτηρίων CI/CD και να τα εμφανίσει μέσα στα αρχεία καταγραφής κατασκευής. Λογαριασμός NPM και δημοσίευσε μια τροποποιημένη έκδοση των TJ-Accesss/Thenge-Files, μια δράση Github που χρησιμοποιείται σε περισσότερα από 23.000 αποθετήρια. Σε ορισμένες περιπτώσεις, τα μυστικά διαρρέουν επίσης μέσω αρχείων καταγραφής CI/CD. Ενώ η απόδοση παραμένει ασαφής, η χρήση ξένων υποδομών έχει εντείνει τις ανησυχίες σχετικά με τα συστηματικά τρωτά σημεία στο οικοσύστημα του GitHub, με μια πολύπλοκη παραβίαση των εργαλείων αυτοματισμού. Οι αναλυτές ασφαλείας ανακάλυψαν ότι ένας προηγούμενος συμβιβασμός του ReviewDog/Action-Setup@V1-μια κακόβουλη ενημέρωση εξάρτησης-επέτρεψε στον εισβολέα να περιστρέφεται πλευρικά σε όλα τα έργα. Αυτή η ανάντη παραβίαση έθεσε τις βάσεις για την δηλητηριώδη ανάπτυξη του TJ-Accings/thefterfiles. target=”_ blank”> bleepingComputer , η καταρράκτη φύση του περιστατικού υπογραμμίζει τους εγγενείς κινδύνους των αλληλεξαρτώμενων ενεργειών σε περιβάλλοντα github, όπου ο συμβιβασμός μιας ενιαίας εξάρτησης μπορεί να μολύνει σιωπηλά άλλα. Η δηλητηριώδη δράση που λειτουργούσε μη εντοπισμένη για μια περίοδο επαρκή για να επηρεάσει τουλάχιστον 218 γνωστά αποθετήρια, αν και η αληθινή εμβέλεια μπορεί να είναι υψηλότερη λόγω της ευρείας υιοθεσίας του. Το Harden-Runner του Stepsecurity , η οποία προκαλεί εξωφρενικές κυκλοφορίες κατά τη διάρκεια της CI, Διεύθυνση. Το εργαλείο χρησιμοποιεί το φιλτράρισμα εξόδου για να περιορίσει ποιες υπηρεσίες CI Scripts μπορούν να επικοινωνήσουν, παρέχοντας ένα στρώμα επιβολής της συμπεριφοράς που συχνά χάνουν οι αναλυτές στατικών κώδικα. Αυτό προκάλεσε μια ευρύτερη ανασκόπηση των προσβεβλημένων αποθετηρίων και ξεκίνησε την κατάπαυση του Github για την κακόβουλη δράση. Η ασφάλεια που σχεδιάστηκε για τα τρωτά σημεία της σημαίας και την ενδεχομένως κακόβουλη λογική-παραβιάστηκε για να ανιχνεύσει τη δηλητηριώδη δράση πριν εκτελεστεί σε περιβάλλοντα χρηστών.
Η στατική ανάλυση μπορεί να εντοπίσει γνωστές ευπάθειες, αλλά είναι συχνά τυφλή σε δυναμικές απειλές όπως η εξάσκηση εντολών και ελέγχου, η οποία εκδηλώνεται μόνο κατά τη διάρκεια της εκτέλεσης. Ωστόσο, η έλλειψη έγκαιρης ανίχνευσης έχει ανανεώσει τον έλεγχο του μοντέλου εμπιστοσύνης του GitHub και την εξάρτησή του από την αυτοματοποίηση για την ασφάλεια της πλατφόρμας. Αντικατοπτρίζει ένα ευρύτερο πρότυπο κατάχρησης που στοχεύει στα κοινωνικά συστήματα ανακάλυψης της GitHub. Οι κακόβουλοι ηθοποιοί έχουν επανειλημμένα εκμεταλλευτεί σήματα εμπιστοσύνης-όπως τα αστέρια, τα πιρούνια και τα θέματα σχολίων-για να διαδώσουν κακόβουλο λογισμικό μέσω φαινομενικά νόμιμων αποθετηρίων. Μια ομάδα γνωστή ως Stargazer Goblin αποκόπηκε πάνω από 3.000 λογαριασμούς στα μέσα του 2024 για να διανείμει κακόβουλο κώδικα που καλύπτεται ως βοηθητικά προγράμματα λογισμικού. Άλλες εκστρατείες ενσωματώθηκαν κακόβουλο λογισμικό διαπιστευτηρίων σε τμήματα σχολίων και εγκατέστησαν ψεύτικες εκστρατείες αστέρων για να εξαπατήσουν τους προγραμματιστές που περιηγούνται σε έργα trending.
Αυτές οι τακτικές δεν είναι νέες, αλλά η κλίμακα κλιμακώνεται. Μια πρόσφατη εκστρατεία κακόβουλου λογισμικού που αξιοποιεί τα ψεύτικα αποθετήρια Github έχει μολύνει σχεδόν ένα εκατομμύριο συσκευές. Οι επιτιθέμενοι ανακατεύονταν χρήστες από πειρατές ιστοσελίδες ροής σε συμβιβασμένα έργα GitHub, εκμεταλλευόμενοι την αξιοπιστία της πλατφόρμας για τη διανομή των ωφέλιμων φορτίων κακόβουλου λογισμικού. αυτό. Η εταιρεία διερευνά τώρα τις αλλαγές στον τρόπο διαχείρισης των ενεργειών του Github τρίτων. Τα εργαλεία αυτοματοποίησης που συνεπάγονται από την κοινότητα. Αλλά εκτός αν η αρχιτεκτονική εμπιστοσύνης του GitHub εξελίσσεται, η πλατφόρμα μπορεί να συνεχίσει να είναι ένας στόχος υψηλής αξίας για τους επιτιθέμενους που εκμεταλλεύονται τον ανοιχτό σχεδιασμό του. Ωστόσο, αυτά τα σενάρια συχνά λειτουργούν με αυξημένα δικαιώματα, συμπεριλαμβανομένης της πρόσβασης σε περιεχόμενο αποθετηρίου και μυστικά CI. Όταν διακυβεύεται μια αξιόπιστη δράση, οι συνέπειες κυματίζουν σε κάθε έργο που το χρησιμοποιεί χωρίς αμφιβολία. Η δημοτικότητα της δράσης και η πρόσβασή της σε ευαίσθητες μεταβλητές περιβάλλοντος την καθιστούσαν ισχυρό φορέα για εκμετάλλευση. Μέχρι να υπάρξουν αυστηρότερες διασφαλίσεις, η ευκολία των ενεργειών GitHub θα συνεχίσει να έρχεται με κρυμμένους κινδύνους.
