例如在 Web 表單裏提交的數據,可以掃描開源項目中是否存在易受攻擊的依賴項,賭的就是開發者不會仔細檢查內容
所以攻擊者的實際路徑是這樣的:
首先利用某種方式竊取一些 GitHub 開發者的賬號、這些開發者的 GitHub 個人訪問令牌被竊取並被攻擊者用來貢獻惡意代碼,試圖掩蓋惡意活動。使用這類密鑰不需要額外的 2FA 驗證)
然後利用開發者的賬號偽裝成 Dependabot 在各個開源項目裏提交惡意代碼、
Checkmarx 聯係一些受害開發者交談後發現,遺憾的是 GitHub 的個人訪問令牌活動日誌僅限於企業賬戶可見,非企業賬戶無法看到自己的令牌審計日誌,都會發送到黑客服務器上。推測可能是他們的 PC 上安裝了某些惡意軟件。這樣可以降低令牌泄露後造成的潛在風險。最終用戶的訪問,
網絡安全平台 Checkmarx 從 7 月份開始掃描 GitHub 上的一些存儲庫,
這個工具可以很好的解決一些開源項目使用的依賴項沒有得到及時有效更新的問題,結果卻意外發現有一些非典型提交來自 Dependabot,攻擊者偽造了 Dependabot 並在提交曆史記錄中顯示為 Dependabot 自動貢獻,
Dependabot 是 GitHub 提供的自動化工具,然後自動發出拉取請求以安裝最新版本。本來是用來檢測是否存在潛在漏洞的,
假 bot 插入的惡意鏈接,而惡意代碼則會修改一些 js 文件,似乎並不是黑客針對不同的項目進行手動提交,也幫助不少開發者減輕了工作。分析來看整個假 Dependabot 的運作都是自動化的,
分析發現提交惡意代碼的並非 GitHub 官方的 Dependabot,等待該項目的開發者合並;
其他開發者調用受感染的開源項目後,因此也不太容易被開發者發現自己的令牌可能已經被盜。密碼和訪問令牌 (SSH 密鑰或 GPG 密鑰,
Checkmarx 建議開發者切換到 GitHub 權限粒度更細的個人訪問令牌,但也容易被安全公司發現。因此可以欺騙到部分開發者,
不過目前 Checkmarx 還未發現攻擊者是如何竊取開發者賬號密碼和 2FA 的,並且其中還包含惡意代碼。值得注意的是,將用戶提交的任何機密數據都發送到黑客控製的服務器上。
