2022-08-19 19:08:32
Компания
Arnica, специализирующаяся на безопасности цепочки поставок ПО, опубликовала
отчет об инциденте, который произошел в начале этого месяца, когда злоумышленник заполонил
GitHub более чем 35 000 проектами с бэкдором.
Ресерчеры отмечают: что на первый взгляд показалось массовым взломом репозитория, оказалось небольшой автоматизацией, смешанной с небольшим знанием некоторых эзотерических команд
git.
В код многих тысяч репозиториев был вставлен код, который отправлял переменные среды на виртуальный частный сервер и запускал код с этого сервера. Как ни странно, эти одинаково написанные бэкдоры, по-видимому, были созданы многими разработчиками в течение многих лет.
GitHub быстро удалил затронутые репозитории и сообщил, что все затронутые репозитории были просто клонами реальных репозиториев и при этом ни один реальный аккаунт не был скомпрометирован.
Примечательно то, как были созданы эти клоны, если не в результате форка: один из способов сделать это — создать второй удаленный локальный клон.
Одна из причин такого приема — запретить
GitHub сообщать другим пользователям, что это клон. При этом
GitHub связывает коммит клона со страницей того же автора.
GitHub выбирает имя и адрес электронной почты последнего коммита и доверяет ему. Таким образом, автор коммита может быть не тем, кто отправляет коммит.
Помимо репосквотинга, такого рода клоны можно использовать для создания скрытых
PR для исходных проектов, хотя форк вместо клона сработает так же хорошо.
Исследователи рекомендуют использовать подписание и проверку коммитов с помощью
GPG. Однако почти никто этого не делает. Кроме того, для предотвращения такого рода атак решающее значение имеет последовательность.
Все подробности и наглядно - здесь
203 views16:08