駭客鎖定開發者的GitHub儲存庫發動攻擊的情況,最近一年可說是越來越頻繁,但現在出現手段更為精細、更難察覺的攻擊手法。
資安業者Checkmarx揭露鎖定GitHub用戶而來的攻擊行動,駭客自今年7月,疑似先取得使用者的存取Token,然後利用自動化指令碼建立主旨為fix的提交程式碼訊息,而這段內容,看似使用者帳號dependabot[bot]所為,而讓使用者以為程式碼是由GitHub自動化相依性工具Dependabot加入。
Dependabot是GitHub推出的軟體專案相依性自動化管理工具,它會持續監控專案的程式庫及套件,檢查是否出現安全漏洞,或者是有需要更新的軟體元件。一旦此工具偵測到程式庫存在這類弱點,就會自動發出更新的需求,藉此維持軟體元件的安全。
然而這些提交的內容會在專案植入惡意程式碼,解析機敏資料並傳送到攻擊者的C2伺服器,並竄改程式庫現有的JavaScript檔案,加入能夠從網頁表單竊取密碼的惡意程式。
研究人員指出,攻擊者從7月8日至11日入侵了數百個GitHub儲存庫,當中有公開,也有僅限私人存取的儲存庫,多數是印尼用戶擁有的。根據受害者提供的資訊,攻擊者很有可能先滲透開發環境,進而取得個人存取Token(PAT)而得逞。
在這些受害的儲存庫當中,研究人員看到兩種型態的攻擊手法重覆出現,很有可能是透過自動化指令碼執行。其中一種是利用GitHub Action檔案hook.yml新增工作流程,進而觸發程式碼推送事件,將程式庫的機密資訊及環境變數傳至hxxps://send[.]wagateway.pro/webhook。
另一種攻擊的手法,則是竄改專案裡所有附檔名JS的檔案,並且在檔案末端加入混淆處理的內容。駭客加入的程式碼,會在瀏覽器環境執行的過程產生新的指令碼標籤,並且從hxxps://send[.]wagateway.pro/client.js?cache=ignore載入額外的指令碼。該指令碼會截取所有瀏覽器裡存放的使用者帳密資料,然後傳送到hxxps://send[.]wagateway.pro/webhook。
熱門新聞
2024-04-29
2024-04-29
2024-04-30
2024-04-30
2024-04-28
2024-04-29
2024-04-30
