Na pozór bezpieczna funkcjonalność popularnych systemów Git CDN może służyć to ukrywania malware’u w popularnych projektach, bez alarmowania właścicieli

Hakerzy używają nieopublikowane komentarze na GitHub i GitLab do generowania linków z phishingiem, które wyglądają jakby zostały wysłane oficjalnie przez różne projekty open source.

Metoda ta została opisana przez Sergei Frankoff. Pozwala na podszycie się pod jakiekolwiek repozytorium, a właściciel repozytorium, nawet jak zauważy problem, to nie jest w stanie nic z tym zrobić.

Jak przebiega atak?

Deweloperzy często zostawiają komentarze i zgłoszenia bugów na stronach projektów Open Source (OSS). Do komentarzy można dołączyć pliki, dokumenty, zrzuty ekranu, itp.

W momencie dodania jakiegokolwiek pliku, serwisy nadają im dedykowany adres URL w poniższym formacie:

https://gitlab.com/{project_group_name}/{repo_name}/uploads/{file_id}/{file_name}

Widzicie już w czym jest problem? Podczas dodawania pliku w jakimkolwiek repozytorium, weźmy przykładowo popularny projekt QEMU, link będzie zaczynał się od https://gitlab.com/qemu-project/qemu/…/{malware}. Jeżeli wyślemy taki link do ofiary, jest znacznie większa szansa, że zostanie on otworzony, ponieważ sam adres należy do oficjalnej strony i projektu. Jeżeli projekt należy do większych firm, np. Microsoft, to systemy skanujące jedynie linki też mogą zostać oszukane.

Nie można usunąć takiego komentarza?

Można. Problem jednak polega również na tym, że nawet po usunięciu komentarza, link do pliku nadal będzie działał. Jest też możliwe w ogóle nie publikowanie komentarza, ponieważ już podczas jego pisania, plik który zostanie dodany jest od razu przesyłany do CDN-a.

Z pełną analizą wektora ataku, możecie zapoznać się w poście Sergeia na Open Analysis – https://research.openanalysis.net/github/lua/2024/03/03/lua-malware.html

~dk