یک آسیبپذیری درGitHub کشف شده است، که مهاجمان ازطریق درخواستهای Pull و Commit مخرب جهت تزریق درب پشتی بر روی پروژههای منبع باز در GitHub استفاده مینمایند. نمونهای از این حملات، تلاش برای آلودهسازی پروژههای Exo Labs (فعال در حوزه هوش مصنوعی و یادگیری ماشین) وyt-dlp (یک دانلودکننده صوتی و تصویری منبعباز) بوده، که نگرانیهایی در مورد امنیت پروژههای منبعباز ایجاد کرده است. همچنین در 18 پروژه منبع باز دیگر، درخواستهای pull مشابهی برای تزریق کد انجام شده است. این حادثه، یادآور حمله زنجیره تأمین xz است که چگونه مهاجمان کدهای مخرب را وارد کتابخانه های منبع باز قانونی و پرطرفدار کردهاند. این حملات با ارسال Commitهای آلوده به این پروژهها انجام شده است. مهاجمان جهت ارسال کامیتها، یک اکانت GitHub جعلی ساختهاند که در آن از اطلاعات و عکس پروفایل شخصی شناخته شده دیگری بهرهبرداری کردهاند. کدهای مخرب ارسالشده شامل دستورات مخربی است. این آسیبپذیری میتواند منجر به خطرجدی در زیرساختهای پروژه یا حتی سرقت دادههای حساس کاربران شود. تاکنون این Commitها از سوی کاربرانی با نامهای evildojo666 و darkimage666 در GitHub ارسال شده که به محض شناسایی حذف شدهاند. نمونههایی از کدهای مخرب تزریق شده در زیر نمایش داده شده است:
دراین حمله دنباله کاراکترهای ("105، 109، 112، 111، 114، 116،...") به قطعه کد تبدیل میشوند، که سعی میکند به evidojo (.) com متصل شود تا پیلود اصلی را دانلود کند. اگر تغییر کد، تایید شده باشد، در مخزن EXO ادغام می شود.
توصیه امنیتی
به کاربران توصیه میشود درخواستهای pull را به پروژههای خود حتی هنگامی که از فرد شناخته شدهای دریافت میکنند با دقت بیشتری مورد بررسی قرار بدهند.
منبع خبر:
https://www.bleepingcomputer.com/news/security/github-projects-targeted-with-malicious-commits-to-f…
- 140