Os pesquisadores de segurança pesquisadores Aviad Gershon e Tal Folkman, da Checkmarx, estão alertando os desenvolvedores para uma tática de ataque à cadeia de suprimentos, envolvendo a falsificação de metadados para apresentar como confiáveis repositórios do GitHub que na verdade podem ser maliciosos. O método de ataque permite que um invasor induza desenvolvedores a utilizar código malicioso. Os pesquisadores da Checkmark descobriram que um cibercriminoso poderia alterar os metadados do commit e assim fazer o repositório parecer mais antigo. Também é possível que um invasor engane os desenvolvedores promovendo repositórios como confiáveis (porque eles são mantidos por contribuidores confiáveis). Também é possível falsificar a identidade do committer e atribuir o commit a uma conta GitHub genuína.
Veja isso
GitHub coloca em open source o seu sistema de IAM
GitHub passa a rastrear armazenamento de credenciais
Os commits falsos podem ser gerados automaticamente e adicionados ao gráfico de atividade de um usuário no GitHub, dizem os pesquisadores, permitindo que um invasor os mantenha ativos na plataforma por um longo tempo. O gráfico exibe a atividade em repositórios privados e públicos, impossibilitando a identificação de commits falsos. “Esse método de engano é difícil de detectar” , disseram os especialistas.
O invasor pode obter o ID de e-mail da vítima, que os usuários geralmente ocultam nas configurações. Usando determinados comandos, um invasor pode substituir o endereço de e-mail e o nome de usuário originais por uma versão falsa na CLI do Git para melhorar a reputação do repositório. O usuário não será notificado de que sua identidade está sendo usada para fins maliciosos. Para apresentar o projeto como confiável, o agente da ameaça pode incluir usuários conhecidos e respeitados na seção de contribuidores do repositório e tornar o projeto legítimo e confiável.
Para evitar o ataque, os pesquisadores da Checkmarx recomendam aos desenvolvedores que assinem seus commits e usem o “modo vigilante” ( modo Vigilant ) para garantir a segurança ideal do ecossistema de código. O modo Vigilant exibe o status de verificação de confirmação, que é uma defesa contra um ataque à cadeia de suprimentos.
A assessoria de imprensa do GitHub no Brasil informou que a empresa “introduziu a verificação de assinatura no commit em 2016, para ajudar os usuários a verificar a origem dos commits no GitHub. Além disso, mantenedores podem solicitar que todos os commits atribuídos a eles exibam o status de verificação de assinatura do commit optando pelo modo vigilante”.
O relatório da Checkmarx está em “https://checkmarx.com/blog/unverified-commits-are-you-unknowingly-trusting-attackers-code/”