VietNetwork.Vn

Những kẻ tấn công từ lâu đã lợi dụng việc đánh cắp tên miền để lừa người dùng nhẹ dạ cả tin truy cập vào các trang web độc hại hoặc tải xuống phần mềm và gói phần mềm có bẫy.

Các cuộc tấn công này thường liên quan đến việc đăng ký tên miền hoặc gói có tên hơi khác so với tên hợp lệ (ví dụ:   Đăng nhập để xem liên kết so với   Đăng nhập để xem liên kết).


Kẻ thù nhắm vào các kho lưu trữ mã nguồn mở trên nhiều nền tảng đã dựa vào lỗi đánh máy của các nhà phát triển để bắt đầu các cuộc tấn công chuỗi cung ứng phần mềm thông qua PyPI, npm, Maven Central, NuGet, RubyGems và Crate.

Những phát hiện mới nhất từ công ty bảo mật đám mây Orca cho thấy ngay cả GitHub Actions, một nền tảng tích hợp liên tục và phân phối liên tục (CI/CD), cũng không tránh khỏi mối đe dọa.

Nhà nghiên cứu bảo mật Ofir Yakobi cho biết trong một báo cáo chia sẻ với The Hacker News: "Nếu các nhà phát triển nhập sai lỗi trong GitHub Action của họ trùng khớp với hành động của người sao chép tên miền, các ứng dụng có thể chạy mã độc mà nhà phát triển thậm chí không hề hay biết".

Cuộc tấn công có thể xảy ra vì bất kỳ ai cũng có thể xuất bản GitHub Action bằng cách tạo tài khoản GitHub với tài khoản email tạm thời. Vì các hành động chạy trong bối cảnh kho lưu trữ của người dùng, nên hành động độc hại có thể bị khai thác để can thiệp vào mã nguồn, đánh cắp bí mật và sử dụng nó để phân phối phần mềm độc hại.

Kỹ thuật này chỉ yêu cầu kẻ tấn công tạo ra các tổ chức và kho lưu trữ có tên gần giống với các GitHub Action phổ biến hoặc được sử dụng rộng rãi.

Nếu người dùng vô tình mắc lỗi chính tả khi thiết lập hành động GitHub cho dự án của họ và phiên bản lỗi chính tả đó đã được kẻ tấn công tạo ra, thì quy trình làm việc của người dùng sẽ chạy hành động độc hại thay vì hành động dự định.

Yakobi cho biết: "Hãy tưởng tượng một hành động đánh cắp thông tin nhạy cảm hoặc sửa đổi mã để đưa vào các lỗi tinh vi hoặc cửa hậu, có khả năng ảnh hưởng đến tất cả các bản dựng và triển khai trong tương lai".

"Trên thực tế, một hành động xâm phạm thậm chí có thể lợi dụng thông tin đăng nhập GitHub của bạn để đẩy các thay đổi độc hại sang các kho lưu trữ khác trong tổ chức của bạn, làm gia tăng thiệt hại trên nhiều dự án."

Orca cho biết một tìm kiếm trên GitHub đã phát hiện ra tới 198 tệp gọi "action/checkout" hoặc "actons/checkout" thay vì " actions/checkout " (lưu ý thiếu chữ "s" và "i"), khiến tất cả các dự án đó có nguy cơ bị ảnh hưởng.

Hình thức đánh cắp tên miền này hấp dẫn đối với những kẻ tấn công vì đây là một cuộc tấn công có chi phí thấp, tác động lớn nhưng có thể gây ra những tổn hại nghiêm trọng đến chuỗi cung ứng phần mềm, ảnh hưởng đến nhiều khách hàng cùng một lúc.

Người dùng được khuyên nên kiểm tra kỹ các hành động và tên của chúng để đảm bảo họ đang tham chiếu đến đúng tổ chức GitHub, sử dụng các hành động từ các nguồn đáng tin cậy và quét định kỳ quy trình làm việc CI/CD của họ để tìm các vấn đề đánh máy sai.

Yakobi cho biết: "Thí nghiệm này nhấn mạnh đến việc kẻ tấn công có thể dễ dàng khai thác lỗi đánh máy trong GitHub Actions như thế nào và tầm quan trọng của việc cảnh giác và thực hành tốt nhất để ngăn chặn các cuộc tấn công như vậy".

"Vấn đề thực tế thậm chí còn đáng lo ngại hơn vì ở đây chúng tôi chỉ nêu bật những gì xảy ra trong các kho lưu trữ công khai. Tác động đối với các kho lưu trữ riêng tư, nơi những lỗi đánh máy tương tự có thể dẫn đến vi phạm bảo mật nghiêm trọng, vẫn chưa được biết rõ."