查看原文
其他

供应链攻击滥用 GitHub 特性传播恶意软件

Arielle Waldman 代码卫士 2024-07-14

 聚焦源代码安全,网罗国内外最新资讯!



专栏·供应链安全

数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。


随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。


为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。


注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。



Checkmarx 公司研究人员发现攻击者操纵GitHub 特性分发恶意软件并提醒称这一趋势为开源供应链造成重大风险。


Checkmarx 公司研究员 Yehuda Gelb 详述了这起最近发生的攻击活动称,威胁行动者操纵GitHub 的搜索功能,下载恶意的 Visual Studio 项目。攻击者利用 GitHub Actions 自动发现恶意仓库并利用 GitHub 的星评分诱骗开发人员。








增加可见性和标星数


在攻击活动中,身份不明的威胁行动者创建了多个 GitHub 仓库,借诱人的名称和主题增加点击。Gelb 提醒称,开发人员在使用最靠前的搜索结果时要保持警惕,因为这正是攻击者所依赖的。Gelb 提到,“这些仓库狡猾地伪装成通常与热门游戏、工具等有关的合法项目,使得用户难以区分是否为恶意代码。为了确保最大可见性,攻击者利用多种狡猾的技术,持续将恶意仓库放到 GitHub 搜索结果顶部。”

其中一种技术涉及对 GitHub Actions 的滥用。通过多次少量更新恶意仓库的方式,攻击者提升了这些仓库的可见性。Gelb 表示这种技术是有效的,因为通过用户过滤“最近更新的”搜索结果,这些恶意仓库会被显示出来。

第二种技术可使攻击者创建虚假热门仓库。仓库的热门程度基于 GitHub 的星排名,对仓库进行排名的账户被称为 “标星者”。开发人员一般会对所了解、信任和最常使用的项目标星。Gelb 观察到,攻击者通过创建“多个徐佳佳账户增加虚假星数量”的方式,提升恶意仓库的评级,滥用了这种信任。虽然这种技术此前就被用于针对 GitHub 实例,但这起攻击活动中的威胁行动者增强了这种技术,使其看起来更加可信。文章提到,“在之前的事件中,攻击者会对自己的仓库增加数百个或数千个星,而在这些案例中,攻击者选择了数量更少的星,这样做很可能是为了避免因星数夸张而引发怀疑。” 然而,研究人员发现,这起攻击活动中所使用的很多标星者的账号创建在同一日期。Gelb 督促用户注意这种社工技术并强调称它是“虚假账户的示警信号”。

此外,威胁行动者还利用躲避技术,维持在受害者 Windows 机器上的持久性。文章提到,“恶意代码通常隐藏在 Visual Studio 项目文件 (.csprojeor.vcxproj) 中来躲避检测,在构建项目时自动执行”。因此,除非通过专门搜索才能发现,因为一般用户可能不会这样做。为了建立恶意软件的可持久性,攻击者创建了在凌晨4点运行且无需任何用户确认或交互的调度任务。而该代码与 “Keyzetsu 剪贴板” 恶意软件有关,用于攻击密币钱包,同时维持在受害者系统上的持久性。Keyzetsu 是相对较新的威胁,Gelb 表示通常会以盗版软件的方式进行分发。








远离俄罗斯


从payload 激活情况来看,Gelb 还观察到威胁行动者选择不攻击位于俄罗斯的受害者。虽然威胁行动者和攻击范围尚不明朗,但显然攻击在启动后是有效的。文章提到,“证据表明,攻击者的活动成功地欺骗了不知情的用户。无数恶意仓库已通过 issues 收到抱怨,并从下载使用该代码后遇到问题的用户处拉取请求。”

Checkmarx 公司的软件供应链安全负责人表示,现在难以获知供应链攻击的范围,“该活动通过SEO诱饵和不断的伪更新瞄准受害者。从我们拥有的信息来看,我们只能猜测受影响受害者的数量,因为目前不存在成功感染的迹象。”








严重损害开源生态系统


Gelb 表示,GitHub 恶意仓库“是正在进行的一种趋势,为开源生态系统带来严重威胁。”例如,Checkmarx 上周发现在一起软件供应链攻击中,威胁行动者攻陷了 GitHub 账户,向包括 Top.gg 在内的热门仓库提交了恶意 commit。恶意软件出现在多个 Top.gg 用户账户中。

Gelb 建议开发人员检查与 commit 频率和标星者相关的可疑活动。他建议用户注意标星者的身份以及这些账户的创建日期。另外,可使用供应链相关的威胁情报推送服务。Gelb 强调了开发人员只依靠声誉来选择所用仓库时的风险,因为恶意代码可能会藏匿。他提到,“这些事件凸显了人工代码审计或使用代码检测恶意软件的必要性。”




点击“阅读原文”,马上试用开源卫士:https://oss.qianxin.com

开源卫士试用地址:https://oss.qianxin.com
代码卫士试用地址:https://codesafe.qianxin.com











推荐阅读

软件供应链投毒 — NPM 恶意组件分析

软件供应链投毒 — NPM 恶意组件分析(二)

在线阅读版:《2023中国软件供应链安全分析报告》全文

奇安信入选全球《软件成分分析全景图》代表厂商

奇安信入选全球《静态应用安全测试全景图》代表厂商

奇安信开源卫士率先通过可信开源治理工具评估

全球软件供应链安全指南和法规概览

英韩:Lazarus 黑客组织利用安全认证软件 0day 漏洞发动供应链攻击

Okta 支持系统遭攻陷,已有Cloudflare、1Password等三家客户受影响

黑客攻陷Okta发动供应链攻击,影响130多家组织机构

Okta 结束Lapsus$ 供应链事件调查,称将加强第三方管控

Okta 提醒:社工攻击正在瞄准超级管理员权限

《软件供应商手册:SBOM的生成和提供》解读

Telegram 和 AWS等电商平台用户遭供应链攻击

美国商务部发布软件物料清单 (SBOM) 的最小元素(上)

美国商务部发布软件物料清单 (SBOM) 的最小元素(中)

美国商务部发布软件物料清单 (SBOM) 的最小元素(下)

速修复MOVEit Transfer 中的这个新0day!

MOVEit 文件传输软件0day被用于窃取数据

MSI UEFI 签名密钥遭泄漏 恐引发“灾难性”供应链攻击

OilRig APT 组织或在中东地区发动更多 IT 供应链攻击

“木马源”攻击影响多数编程语言的编译器,将在软件供应链攻击中发挥巨大作用GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞
流行的 NPM 包依赖关系中存在远程代码执行缺陷
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件
微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制
找到软件供应链的薄弱链条
GitHub谈软件供应链安全及其重要性
揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司开源软件漏洞安全风险分析
开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析
集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市
热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码
GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥
因服务器配置不当,热门直播平台 Twitch 的125GB 数据和源代码被泄露
彪马PUMA源代码被盗,称客户数据不受影响

多租户AWS漏洞暴露账户资源

适用于Kubernetes 的AWS IAM 验证器中存在漏洞,导致提权等攻击

PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点

热门PyPI 包 “ctx” 和 PHP库 “phpass” 长时间未更新遭劫持,用于窃取AWS密钥

如何找到 AWS 环境下应用程序中易于得手的漏洞?



原文链接

https://www.techtarget.com/searchsecurity/news/366580379/Supply-chain-attack-abuses-GitHub-features-to-spread-malware


题图:Pexels License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

继续滑动看下一个
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存