نفوذ به پروژه‌های منبع‌باز از طریق آسیب‌پذیری در GitHub

آسیب‌پذیری در GitHub به مهاجمان اجازه می‌دهد با ایجاد اکانت‌های جعلی و ارسال درخواست‌های Pull آلوده، کدهای مخرب را به پروژه‌های منبع‌باز تزریق کنند.

به گزارش افتانا، یک آسیب‌پذیری درGitHub کشف شده است که مهاجمان از طریق درخواست‌‏های Pull و Commit مخرب جهت تزریق درِ پشتی بر روی پروژه‏‌های منبع ‏باز در GitHub استفاده می‌کنند. نمونه‌ای از این حملات، تلاش برای آلوده‌‏سازی پروژه‏‌های Exo Labs (فعال در حوزه هوش مصنوعی و یادگیری ماشین) وyt-dlp (یک دانلودکننده صوتی و تصویری منبع‌باز) بوده، که نگرانی‌هایی در مورد امنیت پروژه‌های منبع‌باز ایجاد کرده است. همچنین در 18 پروژه منبع باز دیگر، درخواست‏‌های pull مشابهی برای تزریق کد انجام شده است.

این حادثه، یادآور حمله زنجیره تأمین xz است که چگونه مهاجمان کدهای مخرب را وارد کتابخانه های منبع باز قانونی و پرطرفدار کرده‌اند. این حملات با ارسال Commit‏های آلوده به این پروژه‏‌ها انجام شده است. مهاجمان جهت ارسال کامیت‏‌ها، یک اکانت GitHub جعلی ساخته‏‌اند که در آن از اطلاعات و عکس پروفایل شخصی شناخته شده دیگری بهره‌برداری کرده‌‏اند. کدهای مخرب ارسال‌شده شامل دستورات مخربی است. این آسیب‌پذیری می‌تواند منجر به خطرجدی در زیرساخت‌های پروژه یا حتی سرقت داده‌های حساس کاربران شود.

بهتر است که کاربران، درخواست‏‌های pull را به پروژه‏‌های خود حتی هنگامی که از فرد شناخته شده‌‏ای دریافت می‌کنند با دقت بیشتری مورد بررسی قرار بدهند. تاکنون این Commitها از سوی کاربرانی با نام‏‌های evildojo666 و darkimage666 در GitHub ارسال شده که به محض شناسایی حذف شده‌اند. در این حمله دنباله کاراکترهای ("105، 109، 112، 111، 114، 116،...") به قطعه کد تبدیل می‌شوند، که سعی می‌کند به evidojo (.) com متصل شود تا پیلود اصلی را دانلود کند. اگر تغییر کد، تایید شده باشد، در مخزن EXO ادغام می‌شود.