Repositórios do GitHub assolados por roubo de informações

Hackers estão inserindo código malicioso disfarçado de contribuições do Dependabot para roubar segredos de autenticação e senhas de desenvolvedores
Da Redação
28/09/2023

Hackers estão violando contas do GitHub e inserindo código malicioso disfarçado de contribuições do Dependabot para roubar segredos de autenticação e senhas de desenvolvedores. O Dependabot é uma ferramenta automatizada fornecida pelo GitHub que verifica os projetos em busca de dependências vulneráveis e, em seguida, emite automaticamente solicitações pull requests para instalar as versões atualizadas.

A campanha teria se desenrolado em julho, quando pesquisadores descobriram comprometimentos incomuns em centenas de repositórios públicos e privados forjados para aparecer como commits do Dependabot.

Conforme relatado pela Checkmarx, empresa israelense de software de segurança de aplicações, essas contribuições falsas do Dependabot foram possíveis usando tokens de acesso ao GitHub roubados com o objetivo dos invasores de injetar código malicioso para roubar segredos do projeto.

O ataque começou com os hackers de alguma forma obtendo os tokens de acesso pessoais do GitHub de seus alvos, que a Checkmarx não tem conhecimento. Os operadores de ameaça, então, parecem estar usando scripts automatizados para criar mensagens de confirmação falsas intituladas “fix” que parecem ser da conta de usuário “dependabot[bot]”.

Essas confirmações introduzem código mal-intencionado no projeto que executa as duas ações: extrai segredos do projeto GitHub de destino e os envia para o servidor de comando e controle (C&C) do invasor; modifica os arquivos JavaScript existentes no repositório violado para adicionar malware que rouba senhas de envios de formulários da web e as envia para o mesmo endereço C&C.

Veja isso
GitHub libera chaves de acesso para ‘autenticação’ sem senha
GitHub pagou US$ 1,6 milhão em recompensas por bugs em 2022

A exfiltração de segredos é obtida adicionando o arquivo de ação do GitHub “hook.yml” como um novo fluxo de trabalho acionado em cada evento de push de código no repositório afetado. O componente de roubo de senha injeta JavaScript ofuscado no final de todos os arquivos JavaScript (.js) que carregam o script de um site remoto. Esse script monitorará os envios de formulários para roubar senhas de qualquer entrada de formulário do tipo ‘senha’.

Como muitos tokens comprometidos também concederam acesso a repositórios privados, o ataque afetou repositórios públicos e privados do GitHub. Embora a Checkmarx não tenha chegado a uma conclusão concreta sobre os meios exatos pelos quais os invasores roubaram esses tokens, ela supõe que pode ser por meio de uma infecção de malware possivelmente introduzida no dispositivo do desenvolvedor por meio de um pacote malicioso.

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA newsletter@cisoadvisor.com.br NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)