Milioni softverskih repozitorijuma na GitHub-u vjerovatno su ranjivi na napad pod nazivom RepoJacking, otkrila je nova studija.
Ovo uključuje repozitorije iz organizacija kao što su Google, Lyft i nekoliko drugih, rekla je u izvještaju od srijede sigurnosna firma Aqua sa sjedištem u Massachusetts-u.
Ranjivost lanca opskrbe, takođe poznata kao otmica repozitorijuma ovisnosti, je klasa napada koja omogućava preuzimanje penzionisanih imena organizacija ili korisnika i objavljivanje trojanizovanih verzija repozitorijuma za pokretanje malicioznog koda.
“Kada vlasnik repozitorijuma promijeni svoje korisničko ime, stvara se veza između starog i novog imena za svakoga ko preuzme zavisnosti iz starog repozitorijuma” rekli su istraživači Ilay Goldman i Yakir Kadkoda. “Međutim, svako može kreirati staro korisničko ime i prekinuti ovu vezu.”
Alternativno, sličan scenario bi se mogao pojaviti kada se vlasništvo nad repozitorijumom prenese na drugog korisnika i originalni nalog bude obrisan, čime se dozvoljava hakeru da kreira nalog sa starim korisničkim imenom.
Drugim riječima, RepoJacking je napad u kojem protivnik registruje korisničko ime i kreira repozitorijum s istim imenom kao i ime organizacije, ali koje je od tada ili izbrisalo nalog ili se prebacilo na drugo korisničko ime.
To uzrokuje kod koji ima gore spomenuti projekt kao ovisnost da dohvati sadržaj iz repozitorijuma pod kontrolom napadača, čime se truje lanac nabavke softvera.
Aqua je rekao da bi haker mogao iskoristiti web stranice kao što je GHTorrent da izvuče GitHub metapodatke povezane sa bilo kojim javnim urezivanjem i zahtjevima za povlačenjem kako bi sastavio listu jedinstvenih repozitorijuma.
Analiza podskupa od 1,25 miliona repozitorijuma za jun 2019. godine otkrila je da su čak 36.983 repozitorijuma bila ranjiva na RepoJacking, što predstavlja stopu uspješnosti od 2,95%.
S obzirom da GitHub sadrži više od 330 miliona repozitorijuma, nalazi sugerišu da bi milioni repozitorijuma mogli biti ranjivi na sličan napad.
Jedan takav repozitorij je google/mathsteps, koji je ranije bio u vlasništvu Socratic-a (socraticorg/mathsteps), kompanije koju je Google kupio 2018. godine.
“Kada pristupite https://github.com/socraticorg/mathsteps, bićete preusmjereni na https://github.com/google/mathsteps tako da će na kraju korisnik preuzeti Google-ov repozitorijum” rekli su istraživači.
“Međutim, budući da je socraticorg organizacija bila dostupna, napadač bi mogao otvoriti socraticorg/mathsteps repozitorijum i korisnici koji slijede Google-ove upute će umjesto toga klonirati napadačev repozitorijum. A zbog npm instalacije to će dovesti do proizvoljnog izvršavanja koda na korisnicima.”
Ovo nije prvi put da se takva zabrinutost iznosi. U oktobru 2022. godine GitHub je prešao na zatvaranje sigurnosne rupe koja se mogla iskoristiti za kreiranje malicioznih repozitorijuma i podizanje napada na lanac opskrbe zaobilazeći povlačenje prostora imena popularnog repozitorijuma.
Da bi se ublažili takvi rizici, preporučuje se da korisnici povremeno provjeravaju svoj kod za veze koje možda preuzimaju resurse iz vanjskih GitHub repozitorijuma.
“Ako promijenite naziv svoje organizacije, osigurajte da i dalje posjedujete prethodni naziv kako biste spriječili napadače da ga kreiraju” rekli su istraživači.
Izvor: The Hacker News
