Зловмисники вже давно намагаються скористатися помилками введення імен у різних системах (DNS, репозиторіях пакетів), які близькі до популярних ресурсів.
Згадана техніка, відома як тайпосквотинг, також була застосована до GitHub Actions. Це може призвести до того, що розробники виконуватимуть шкідливі робочі процеси у своїх власних репозиторіях.
GitHub Actions — це служба CI/CD (безперервна інтеграція та доставка), яка дає змогу розробникам автоматизувати складання і тестування програмного забезпечення шляхом налаштування робочих процесів, що запускаються при виявленні певних подій, таких як додавання нового коду до репозиторію.
Як повідомляє Csoonline, дослідники з Orca Security зареєстрували на GitHub 14 організацій із назвами, які є неправильними варіантами імен популярних власників Actions. Наприклад, circelci замість circleci, actons замість action, google-github-actons замість google-github-actions.
Якщо розробник помилково введе неправильне ім’я у робочому процесі, то шкідливий код може виконуватися без будь-яких попереджувальних ознак.
Масштаби ризиків
Хоча може здатися, що розробники рідко роблять такі помилки, враховуючи масштаби GitHub (понад 100 мільйонів розробників і більш ніж 420 мільйонів репозиторіїв), навіть рідкісні випадки можуть призвести до тисяч потенційних жертв.
Так, протягом 2 місяців після встановлення дослідники виявили 12 публічних репозиторіїв, які зверталися до їхньої фейкової організації actons.
Можливі наслідки
Атака може призвести до встановлення шкідливих програм, крадіжки конфіденційних даних або прихованої зміни коду, що може вразити всі майбутні збірки та розгортання. Навіть якщо атакувальники скомпрометують лише кілька репозиторіїв, один із них може належати до популярного проєкту, що надасть доступ до тисяч користувачів.
Як запобігти атакам:
- Ретельно перевіряйте назви дій перед їх використанням у робочих процесах.
- Використовуйте дії лише від перевірених або популярних розробників.
- Використовуйте теги версій або коміт SHAs для забезпечення використання перевіреного коду.
- Інтегруйте інструменти безпеки для перевірки робочих процесів на наявність проблем, включно із тайпосквотингом.
- Підвищуйте обізнаність своєї команди про ризики виникнення тайпосквотингу і способи їх уникнення.
Раніше ми повідомляли, що GitHub представив Copilot Autofix — службу усунення вразливостей програмного забезпечення на основі штучного інтелекту у межах служби GitHub Advanced Security (GHAS).
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!