بدافزای در گیت هاب (GitHub) کشف شده است که طیف گستردهای از پروژهها از جمله پروژههای رمرازری را تهدید میکند. توسعهدهندهای که این آسیبپذیری را کشف کرد، از سایر توسعهدهندگان خواست بازنگریهای خود در پروژهها را با کلید GPG امضا کنند تا اطمینان حاصل شود که تنها بازنگری معتبر در پروژه تایید و اعمال میشود.
به گزارش میهن بلاکچین و به نقل از کوین تلگراف، گیت هاب (Github)، پلتفرم بزرگ توسعهدهندگان، با حمله بدافزار گستردهای مواجه شده است و در همان روزی که هزاران کیف پول بر بستر سولانا هک شدند و میلیونها دلار از آنها سرقت شد، به ۳۵,۰۰۰ کد حمله شده است. این حمله گسترده اولین بار توسط استفن لوسی (Stephen Lucy) یکی از توسعهدهندگان گیتهاب در اوایل روز چهارشنبه گزارش داده شد. لوسی هنگام بررسی پروژهای که با جستجوی گوگل پیدا کرده بود، این مشکل را کشف کرد:
به نظرم چیزی رو پیدا کردم که یه حمله بدافزاری گسترده به گیت هابه.
– در حال حاضر ۳۵ هزار ریپازیتوری گیت هاب آلوده هستن.
– تا اینجا پروژههای مختلف از کریپتو، گولانگ، پایتون، جاوااسکریپت، بَش، داکر (Docker) و کوبرنتز (Kubernetes) تحت تاثیر این حمله قرار گرفتن.
– این بدافزار به اسکریپتهای NPM و تصاویر Docker و داکیومنتهای اینستال اضافه میشه.
حملهکننده به منظور فریب توسعهدهندگان و دسترسی به اطلاعات مهم، یک ریپازیتوری جعلی ایجاد میکند و کلونی آلوده از پروژه اصلی و معتبر را وارد گیت هاب میکند. ریپازیتوری (Repository) یک پروژه شامل تمام فایلهای پروژه و تاریخچه کامل بازنگری آن فایلها است. برای مثال، دو تصویر زیر، یک پروژه معتبر کریپتو و نسخه آلوده آن را نشان میدهند.
بسیاری از این ریپازیتوریهای کلون به عنوان Pull Request وارد گیت هاب شدهاند که به توسعهدهندگان امکان میدهد تغییراتی که در ریپازیتوری GitHub پروژه خود اعمال کردهاند را به سایر افراد اطلاع بدهند.
در صورتی که توسعهدهندهای طعمه این بدافزار شود، تمام متغیرهای محیطی اسکریپت (ENV)، اپلیکشن یا لپتاپ او به سرور حملهکننده ارسال میشود. این متغیرهای محیطی کلیدهای امنیتی، کلیدهای دسترسی به وب سرویس آمازون (AWS)، کلیدهای کریپتو و موارد دیگر را شامل میشوند.
این توسعهدهنده، مشکل مذکور را به گیت هاب گزارش داد و به توسعهدهندگان توصیه کرد تا بازنگریها و تغییراتی که در ریپازیتوری پروژه خود انجام دادهاند را با GPG امضا کنند. کلیدهای GPG با ارائه روشی برای شناسایی این موضوع که آیا بازنگریها از منبع قابل اعتمادی ارسال میشوند یا خیر، یک لایه امنیتی مضاعف برای حسابهای گیت هاب و پروژههای نرمافزاری ایجاد میکند.
