GitHub affronta attacchi malware diffusi che interessano i progetti, comprese le criptovalute

La principale piattaforma di sviluppo GitHub ha dovuto affrontare un diffuso attacco di malware e ha riportato 35,000 "coperte di codice" in un giorno in cui migliaia di portafogli basati su Solana sono stati prosciugati per milioni di dollari.

L'attacco diffuso è stato evidenziato dallo sviluppatore di GitHub Stephen Lucy, che ha segnalato per la prima volta l'incidente all'inizio di mercoledì. Lo sviluppatore ha riscontrato il problema durante la revisione di un progetto che ha trovato su una ricerca su Google.

Sto scoprendo quello che sembra essere un massiccio attacco di malware diffuso su @github.
– Attualmente oltre 35 repository sono infetti
– Finora trovato in progetti tra cui: crypto, golang, python, js, bash, docker, k8s
– Viene aggiunto agli script npm, alle immagini docker e ai documenti di installazione pic.twitter.com/rq3CBDw3r9
—Stephen Lacy (@stephenlacy) 3 Agosto 2022

Finora, vari progetti – da crypto, Golang, Python, JavaScript, Bash, Docker e Kubernetes – sono stati trovati colpiti dall'attacco. L'attacco malware è mirato alle immagini della finestra mobile, ai documenti di installazione e allo script NPM, che è un modo conveniente per raggruppare i comandi shell comuni per un progetto.

Per ingannare gli sviluppatori e accedere ai dati critici, l'attaccante crea prima un repository falso (un repository contiene tutti i file del progetto e la cronologia delle revisioni di ogni file) e invia cloni di progetti legittimi a GitHub. Ad esempio, le due istantanee seguenti mostrano questo legittimo progetto di mining di criptovalute e il suo clone.

*Progetto di mining di criptovalute originale. Fonte: Github*

*Progetto di mining di criptovalute clonato. Fonte: Github*

Molti di questi repository clone sono stati inviati come "richieste pull", che consentono agli sviluppatori di raccontare agli altri le modifiche che hanno inviato a un ramo in un repository su GitHub.

Correlato: Secondo quanto riferito, Nomad ha ignorato la vulnerabilità della sicurezza che ha portato a un exploit di 190 milioni di dollari

Una volta che lo sviluppatore cade preda dell'attacco malware, l'intera variabile d'ambiente (ENV) dello script, dell'applicazione o del laptop (app Electron) viene inviata al server dell'attaccante. L'ENV include chiavi di sicurezza, chiavi di accesso Amazon Web Services, chiavi crittografiche e molto altro.

Lo sviluppatore ha segnalato il problema a GitHub e ha consigliato agli sviluppatori di firmare GPG le loro revisioni apportate al repository. Le chiavi GPG aggiungono un ulteriore livello di sicurezza agli account GitHub e ai progetti software fornendo un modo per verificare che tutte le revisioni provengano da una fonte attendibile.