Ngày 22 tháng 6 năm 2023Ravie Lakshmanan Chuỗi cung ứng / Bảo mật phần mềm
Một nghiên cứu mới đã tiết lộ rằng hàng triệu kho lưu trữ phần mềm trên GitHub có khả năng dễ bị tấn công có tên là RepoJacking.
Điều này bao gồm các kho lưu trữ từ các tổ chức như Google, Lyft và một số tổ chức khác, công ty bảo mật dựa trên nền tảng đám mây có trụ sở tại Massachusetts Aqua cho biết trong một báo cáo hôm thứ Tư.
Lỗ hổng chuỗi cung ứng, còn được gọi là chiếm quyền điều khiển kho lưu trữ phụ thuộc, là một loại tấn công cho phép tiếp quản các tổ chức hoặc tên người dùng đã ngừng hoạt động và xuất bản các phiên bản kho lưu trữ bị trojan hóa để chạy mã độc.
“Khi chủ sở hữu kho lưu trữ thay đổi tên người dùng của họ, một liên kết được tạo giữa tên cũ và tên mới cho bất kỳ ai tải xuống các phụ thuộc từ kho lưu trữ cũ”, các nhà nghiên cứu Ilay Goldman và Yakir Kadkoda cho biết. “Tuy nhiên, bất kỳ ai cũng có thể tạo tên người dùng cũ và phá vỡ liên kết này.”
Ngoài ra, một kịch bản tương tự có thể phát sinh khi quyền sở hữu kho lưu trữ được chuyển giao cho người dùng khác và tài khoản ban đầu bị xóa, do đó cho phép kẻ xấu tạo tài khoản với tên người dùng cũ.
Aqua cho biết một tác nhân đe dọa có thể tận dụng các trang web như GHorrent để trích xuất siêu dữ liệu GitHub được liên kết với bất kỳ cam kết công khai nào và lấy các yêu cầu để biên dịch danh sách các kho lưu trữ duy nhất.
Một phân tích về một tập hợp con gồm 1,25 triệu kho lưu trữ cho tháng 6 năm 2019 cho thấy có tới 36.983 kho lưu trữ dễ bị tấn công bởi RepoJacking, cho thấy tỷ lệ thành công là 2,95%.
Với GitHub chứa hơn 330 triệu kho lưu trữ, các phát hiện cho thấy hàng triệu kho lưu trữ có thể dễ bị tấn công tương tự.
Một kho lưu trữ như vậy là google/mathsteps, trước đây thuộc quyền sở hữu của Socrates (socraticorg/mathsteps), một công ty đã được Google mua lại vào năm 2018.
Các nhà nghiên cứu cho biết: “Khi bạn truy cập https://github.com/socraticorg/mathsteps, bạn sẽ được chuyển hướng đến https://github.com/google/mathsteps nên cuối cùng người dùng sẽ tìm nạp kho lưu trữ của Google”.
“Tuy nhiên, vì tổ chức socraticorg đã có sẵn, kẻ tấn công có thể mở kho lưu trữ socraticorg/mathsteps và thay vào đó, những người dùng làm theo hướng dẫn của Google sẽ sao chép kho lưu trữ của kẻ tấn công. Và do cài đặt npm, điều này sẽ dẫn đến việc thực thi mã tùy ý trên người dùng.”
Đây không phải là lần đầu tiên những lo ngại như vậy được nêu ra. Vào tháng 10 năm 2022, GitHub đã tiến hành đóng một lỗ hổng bảo mật có thể đã bị lợi dụng để tạo các kho lưu trữ độc hại và thực hiện các cuộc tấn công chuỗi cung ứng bằng cách phá vỡ việc ngừng sử dụng không gian tên của kho lưu trữ phổ biến.
Để giảm thiểu những rủi ro như vậy, người dùng nên kiểm tra định kỳ mã của họ để tìm các liên kết có thể đang truy xuất tài nguyên từ kho lưu trữ GitHub bên ngoài.
Các nhà nghiên cứu cho biết: “Nếu bạn thay đổi tên tổ chức của mình, hãy đảm bảo rằng bạn vẫn sở hữu tên trước đó, ngay cả khi là một trình giữ chỗ, để ngăn những kẻ tấn công tạo ra nó”.
