يواجه GitHub هجمات برمجيات خبيثة واسعة النطاق تؤثر على المشاريع ، بما في ذلك التشفير

اخلاء مسؤولية | DISCLAIMER

المطور الذي اكتشف الثغرة الأمنية طلب من المطورين التوقيع على مراجعاتهم باستخدام مفتاح GPG لضمان إمكانية التحقق من جميع المراجعات الخاصة بهم على المشروع.

واجهت منصة المطورين الرئيسية GitHub هجومًا ضارًا واسع النطاق وأبلغت عن 35000 “زيارة رمز” في يوم شهد استنزاف الآلاف من محافظ Solana بملايين الدولارات.

وسلط ستيفن لوسي ، مطور جيثب ، الضوء على الهجوم الواسع النطاق ، الذي أبلغ عن الحادث لأول مرة في وقت سابق يوم الأربعاء. واجه المطور المشكلة أثناء مراجعة مشروع وجده على بحث Google.

حتى الآن ، تم العثور على مشاريع مختلفة – من crypto و Golang و Python و JavaScript و Bash و Docker و Kubernetes – متأثرة بالهجوم. يستهدف هجوم البرامج الضارة صور عامل الإرساء وتثبيت المستندات و NPM النصي ، وهي طريقة ملائمة لتجميع أوامر shell الشائعة لمشروع ما.

لخداع المطورين والوصول إلى البيانات المهمة ، ينشئ المهاجم أولاً مستودعًا مزيفًا (يحتوي المستودع على جميع ملفات المشروع وسجل مراجعة كل ملف) ويدفع نسخًا من المشاريع الشرعية إلى GitHub. على سبيل المثال ، تُظهر اللقطتان التاليتان مشروع عامل التعدين الشرعي هذا واستنساخه.

تم دفع العديد من مستودعات النسخ هذه على أنها “طلبات سحب” ، والتي تتيح للمطورين إخبار الآخرين بالتغييرات التي دفعوها إلى فرع في مستودع على GitHub.

ذات صلة: ورد أن Nomad تجاهل الثغرة الأمنية التي أدت إلى استغلال بقيمة 190 مليون دولار

بمجرد أن يقع المطور فريسة لهجوم البرامج الضارة ، يتم إرسال متغير البيئة بالكامل (ENV) للبرنامج النصي أو التطبيق أو الكمبيوتر المحمول (تطبيقات Electron) إلى خادم المهاجم. يتضمن ENV مفاتيح الأمان ومفاتيح الوصول إلى Amazon Web Services ومفاتيح التشفير وغير ذلك الكثير.

قام المطور بإبلاغ GitHub بالمشكلة ونصح المطورين بتوقيع GPG على مراجعاتهم التي تم إجراؤها على المستودع. تضيف مفاتيح GPG طبقة إضافية من الأمان إلى حسابات GitHub ومشاريع البرامج من خلال توفير طريقة للتحقق من أن جميع المراجعات تأتي من مصدر موثوق.

المصدر من هنا