WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Bản sao của 35.000 kho lưu trữ trên GitHub có chứa mã độc
Một kỹ sư phần mềm đã phát hiện ra bản sao có chứa mã độc của hàng nghìn kho lưu trữ trên GitHub.
Nhà phát triển phần mềm Stephen Lacy đã phát hiện ra “cuộc tấn công phần mềm độc hại diện rộng” trên GitHub ảnh hưởng đến khoảng 35.000 kho phần mềm. Tuy nhiên, “35.000 dự án” này không bị ảnh hưởng hoặc xâm phạm theo bất kỳ cách nào.
Cụ thể, khi xem xét một dự án mã nguồn mở, Lacy đã thấy URL sau: hxxp://ovz1.j19544519.pr46m.vps.myjino[.]ru
Tìm kiếm URL này trên GitHub cho hơn 35.000 kết quả hiển thị các tệp chứa URL độc hại. Do đó, con số này đại diện cho số lượng tệp đáng ngờ chứ không phải là các kho bị nhiễm mã độc.
“Trong số 35.788 kết quả, hơn 13.000 kết quả là từ một kho lưu trữ được gọi là ‘redhat-operator-systems’”.
Bản sao độc hại cho kẻ tấn công quyền truy cập từ xa
‘Nhân bản’ các kho lưu trữ mã nguồn mở là một cách làm phổ biến, được khuyến khích giữa các nhà phát triển với nhau. Trong trường hợp này, kẻ xấu đã tạo ra bản sao của các dự án hợp pháp, chèn mã độc vào trong các bản sao đó để nhắm mục tiêu đến các nhà phát triển.
Nhà phát triển James Tucker chỉ ra rằng các kho lưu trữ nhân bản chứa URL độc hại không chỉ lấy các biến môi trường của người dùng mà còn chứa backdoor một dòng (one-line).
Bản thân việc lọc các biến môi trường có thể cung cấp cho tác nhân đe dọa những thông tin quan trọng như khóa API, mã thông báo, thông tin đăng nhập Amazon AWS và khóa tiền điện tử, nếu có.
Ngoài ra, hướng dẫn dòng đơn còn cho phép kẻ tấn công từ xa thực thi mã tùy ý trên hệ thống của tất cả những người cài đặt và chạy các bản sao độc hại này.
Phần lớn các kho lưu trữ phân nhánh đã bị thay bằng bản sao có chứa mã độc hại từ tháng trước. Tuy nhiên, một số kho có thời gian từ năm 2015.
GitHub đã loại bỏ các bản sao độc hại sau khi nhận được báo cáo.
Người dùng được khuyến cáo sử dụng phần mềm từ kho lưu trữ chính thức của dự án và đề phòng lỗi typosquat tiềm ẩn hoặc các bản sao/phân nhánh của kho lưu trữ có thể giống với dự án gốc nhưng ẩn chứa phần mềm độc hại.
Nhà phát triển phần mềm Stephen Lacy đã phát hiện ra “cuộc tấn công phần mềm độc hại diện rộng” trên GitHub ảnh hưởng đến khoảng 35.000 kho phần mềm. Tuy nhiên, “35.000 dự án” này không bị ảnh hưởng hoặc xâm phạm theo bất kỳ cách nào.
Cụ thể, khi xem xét một dự án mã nguồn mở, Lacy đã thấy URL sau: hxxp://ovz1.j19544519.pr46m.vps.myjino[.]ru
Tìm kiếm URL này trên GitHub cho hơn 35.000 kết quả hiển thị các tệp chứa URL độc hại. Do đó, con số này đại diện cho số lượng tệp đáng ngờ chứ không phải là các kho bị nhiễm mã độc.
“Trong số 35.788 kết quả, hơn 13.000 kết quả là từ một kho lưu trữ được gọi là ‘redhat-operator-systems’”.
Bản sao độc hại cho kẻ tấn công quyền truy cập từ xa
‘Nhân bản’ các kho lưu trữ mã nguồn mở là một cách làm phổ biến, được khuyến khích giữa các nhà phát triển với nhau. Trong trường hợp này, kẻ xấu đã tạo ra bản sao của các dự án hợp pháp, chèn mã độc vào trong các bản sao đó để nhắm mục tiêu đến các nhà phát triển.
Nhà phát triển James Tucker chỉ ra rằng các kho lưu trữ nhân bản chứa URL độc hại không chỉ lấy các biến môi trường của người dùng mà còn chứa backdoor một dòng (one-line).
Bản thân việc lọc các biến môi trường có thể cung cấp cho tác nhân đe dọa những thông tin quan trọng như khóa API, mã thông báo, thông tin đăng nhập Amazon AWS và khóa tiền điện tử, nếu có.
Ngoài ra, hướng dẫn dòng đơn còn cho phép kẻ tấn công từ xa thực thi mã tùy ý trên hệ thống của tất cả những người cài đặt và chạy các bản sao độc hại này.
Phần lớn các kho lưu trữ phân nhánh đã bị thay bằng bản sao có chứa mã độc hại từ tháng trước. Tuy nhiên, một số kho có thời gian từ năm 2015.
GitHub đã loại bỏ các bản sao độc hại sau khi nhận được báo cáo.
Người dùng được khuyến cáo sử dụng phần mềm từ kho lưu trữ chính thức của dự án và đề phòng lỗi typosquat tiềm ẩn hoặc các bản sao/phân nhánh của kho lưu trữ có thể giống với dự án gốc nhưng ẩn chứa phần mềm độc hại.
Theo Bleeping Computer