供应链攻击滥用 GitHub 特性传播恶意软件
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
Checkmarx 公司研究员 Yehuda Gelb 详述了这起最近发生的攻击活动称,威胁行动者操纵GitHub 的搜索功能,下载恶意的 Visual Studio 项目。攻击者利用 GitHub Actions 自动发现恶意仓库并利用 GitHub 的星评分诱骗开发人员。
增加可见性和标星数
在攻击活动中,身份不明的威胁行动者创建了多个 GitHub 仓库,借诱人的名称和主题增加点击。Gelb 提醒称,开发人员在使用最靠前的搜索结果时要保持警惕,因为这正是攻击者所依赖的。Gelb 提到,“这些仓库狡猾地伪装成通常与热门游戏、工具等有关的合法项目,使得用户难以区分是否为恶意代码。为了确保最大可见性,攻击者利用多种狡猾的技术,持续将恶意仓库放到 GitHub 搜索结果顶部。”
其中一种技术涉及对 GitHub Actions 的滥用。通过多次少量更新恶意仓库的方式,攻击者提升了这些仓库的可见性。Gelb 表示这种技术是有效的,因为通过用户过滤“最近更新的”搜索结果,这些恶意仓库会被显示出来。
第二种技术可使攻击者创建虚假热门仓库。仓库的热门程度基于 GitHub 的星排名,对仓库进行排名的账户被称为 “标星者”。开发人员一般会对所了解、信任和最常使用的项目标星。Gelb 观察到,攻击者通过创建“多个徐佳佳账户增加虚假星数量”的方式,提升恶意仓库的评级,滥用了这种信任。虽然这种技术此前就被用于针对 GitHub 实例,但这起攻击活动中的威胁行动者增强了这种技术,使其看起来更加可信。文章提到,“在之前的事件中,攻击者会对自己的仓库增加数百个或数千个星,而在这些案例中,攻击者选择了数量更少的星,这样做很可能是为了避免因星数夸张而引发怀疑。” 然而,研究人员发现,这起攻击活动中所使用的很多标星者的账号创建在同一日期。Gelb 督促用户注意这种社工技术并强调称它是“虚假账户的示警信号”。
此外,威胁行动者还利用躲避技术,维持在受害者 Windows 机器上的持久性。文章提到,“恶意代码通常隐藏在 Visual Studio 项目文件 (.csprojeor.vcxproj) 中来躲避检测,在构建项目时自动执行”。因此,除非通过专门搜索才能发现,因为一般用户可能不会这样做。为了建立恶意软件的可持久性,攻击者创建了在凌晨4点运行且无需任何用户确认或交互的调度任务。而该代码与 “Keyzetsu 剪贴板” 恶意软件有关,用于攻击密币钱包,同时维持在受害者系统上的持久性。Keyzetsu 是相对较新的威胁,Gelb 表示通常会以盗版软件的方式进行分发。
远离俄罗斯
从payload 激活情况来看,Gelb 还观察到威胁行动者选择不攻击位于俄罗斯的受害者。虽然威胁行动者和攻击范围尚不明朗,但显然攻击在启动后是有效的。文章提到,“证据表明,攻击者的活动成功地欺骗了不知情的用户。无数恶意仓库已通过 issues 收到抱怨,并从下载使用该代码后遇到问题的用户处拉取请求。”
Checkmarx 公司的软件供应链安全负责人表示,现在难以获知供应链攻击的范围,“该活动通过SEO诱饵和不断的伪更新瞄准受害者。从我们拥有的信息来看,我们只能猜测受影响受害者的数量,因为目前不存在成功感染的迹象。”
严重损害开源生态系统
Gelb 表示,GitHub 恶意仓库“是正在进行的一种趋势,为开源生态系统带来严重威胁。”例如,Checkmarx 上周发现在一起软件供应链攻击中,威胁行动者攻陷了 GitHub 账户,向包括 Top.gg 在内的热门仓库提交了恶意 commit。恶意软件出现在多个 Top.gg 用户账户中。
Gelb 建议开发人员检查与 commit 频率和标星者相关的可疑活动。他建议用户注意标星者的身份以及这些账户的创建日期。另外,可使用供应链相关的威胁情报推送服务。Gelb 强调了开发人员只依靠声誉来选择所用仓库时的风险,因为恶意代码可能会藏匿。他提到,“这些事件凸显了人工代码审计或使用代码检测恶意软件的必要性。”
点击“阅读原文”,马上试用开源卫士:https://oss.qianxin.com
英韩:Lazarus 黑客组织利用安全认证软件 0day 漏洞发动供应链攻击
Okta 支持系统遭攻陷,已有Cloudflare、1Password等三家客户受影响
Okta 结束Lapsus$ 供应链事件调查,称将加强第三方管控
MSI UEFI 签名密钥遭泄漏 恐引发“灾难性”供应链攻击
OilRig APT 组织或在中东地区发动更多 IT 供应链攻击
流行的 NPM 包依赖关系中存在远程代码执行缺陷
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件
微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制
找到软件供应链的薄弱链条
GitHub谈软件供应链安全及其重要性
揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司开源软件漏洞安全风险分析
开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析
集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市
热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码
GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥
因服务器配置不当,热门直播平台 Twitch 的125GB 数据和源代码被泄露
彪马PUMA源代码被盗,称客户数据不受影响
适用于Kubernetes 的AWS IAM 验证器中存在漏洞,导致提权等攻击
PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点
https://www.techtarget.com/searchsecurity/news/366580379/Supply-chain-attack-abuses-GitHub-features-to-spread-malware
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。