کشف آسیب‌پذیری درGitHub

یک آسیب‌پذیری درGitHub کشف شده است، که مهاجمان ازطریق درخواست‌‏های Pull و Commit مخرب جهت تزریق درب پشتی بر روی پروژه‏‌های منبع ‏باز در GitHub استفاده می‌نمایند. نمونه‌ای از این حملات، تلاش برای آلوده‌‏سازی پروژه‏‌های Exo Labs (فعال در حوزه هوش مصنوعی و یادگیری ماشین) وyt-dlp (یک دانلودکننده صوتی و تصویری منبع‌باز) بوده، که نگرانی‌هایی در مورد امنیت پروژه‌های منبع‌باز ایجاد کرده است. همچنین در 18 پروژه منبع باز دیگر، درخواست‏‌های pull مشابهی برای تزریق کد انجام شده است. این حادثه، یادآور حمله زنجیره تأمین xz است که چگونه مهاجمان کدهای مخرب را وارد کتابخانه های منبع باز قانونی و پرطرفدار کرده‌اند. این حملات با ارسال Commit‏های آلوده به این پروژه‏‌ها انجام شده است. مهاجمان جهت ارسال کامیت‏‌ها، یک اکانت GitHub جعلی ساخته‏‌اند که در آن از اطلاعات و عکس پروفایل شخصی شناخته شده دیگری بهره‌برداری کرده‌‏اند. کدهای مخرب ارسال‌شده شامل دستورات مخربی است. این آسیب‌پذیری می‌تواند منجر به خطرجدی در زیرساخت‌های پروژه یا حتی سرقت داده‌های حساس کاربران شود. تاکنون این Commitها از سوی کاربرانی با نام‏‌های evildojo666 و darkimage666 در GitHub ارسال شده که به محض شناسایی حذف شده‌اند. نمونه‌ها‏یی از کدهای مخرب تزریق شده در زیر نمایش داده شده است:
دراین حمله دنباله کاراکترهای ("105، 109، 112، 111، 114، 116،...") به قطعه کد تبدیل می‌شوند، که سعی می‌کند به evidojo (.) com متصل شود تا پیلود اصلی را دانلود کند. اگر تغییر کد، تایید شده باشد، در مخزن EXO ادغام می شود. 

 

توصیه امنیتی

به کاربران توصیه می‌‏شود درخواست‏‌های pull را به پروژه‏‌های خود حتی هنگامی که از فرد شناخته شده‌‏ای دریافت می‌کنند با دقت بیشتری مورد بررسی قرار بدهند.


منبع خبر:

https://www.bleepingcomputer.com/news/security/github-projects-targeted-with-malicious-commits-to-f…