GitHub Actions уязвимы перед тайпсквоттингом - «Новости» » Интернет технологии
sitename
Между Apple и Илоном Маском разгорелся конфликт из-за мобильной спутниковой связи - «Новости сети»
Между Apple и Илоном Маском разгорелся конфликт из-за мобильной спутниковой связи - «Новости сети»
 Ryzen 9 9950X3D с помощью обычного утюга и лески заставили разогнаться почти до 6 ГГц - «Новости сети»
Ryzen 9 9950X3D с помощью обычного утюга и лески заставили разогнаться почти до 6 ГГц - «Новости сети»
 Билл Гейтс хотел бы превратить Microsoft в ИИ-компанию и заработать миллиарды на «эскизных идеях» - «Новости сети»
Билл Гейтс хотел бы превратить Microsoft в ИИ-компанию и заработать миллиарды на «эскизных идеях» - «Новости сети»
 «Самое брутальное зрелище в галактике»: новый геймплейный трейлер подтвердил дату выхода безжалостного боевика Kiborg от российских разработчиков - «Новости сети»
«Самое брутальное зрелище в галактике»: новый геймплейный трейлер подтвердил дату выхода безжалостного боевика Kiborg от российских разработчиков - «Новости сети»
 Найден новый простой способ установки Windows 11 без учётной записи Microsoft - «Новости сети»
Найден новый простой способ установки Windows 11 без учётной записи Microsoft - «Новости сети»
 Уязвимость нулевого дня в Windows приводит к утечке NTLM-хешей - «Новости»
Уязвимость нулевого дня в Windows приводит к утечке NTLM-хешей - «Новости»
 Shedding Zmiy использует руткит Puma для атак на российские организации - «Новости»
Shedding Zmiy использует руткит Puma для атак на российские организации - «Новости»
 Шпионская хак-группа RedCurl создала собственное вымогательское ПО - «Новости»
Шпионская хак-группа RedCurl создала собственное вымогательское ПО - «Новости»
 Mozilla предупреждает: Firefox для Windows уязвим перед побегом из песочницы - «Новости»
Mozilla предупреждает: Firefox для Windows уязвим перед побегом из песочницы - «Новости»
 ИБ-специалисты взломали инфраструктуру вымогательской группы BlackLock - «Новости»
ИБ-специалисты взломали инфраструктуру вымогательской группы BlackLock - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » GitHub Actions уязвимы перед тайпсквоттингом - «Новости»

✔GitHub Actions уязвимы перед тайпсквоттингом - «Новости»

10 сентября 2024 435 Новости / Текст / Вёрстка / Преимущества стилей / Сайтостроение / Изображения / Заработок / Самоучитель CSS / Формы 0

Аналитики компании Orca предупредили, что преступники могут использовать CI/CD платформу GitHub Actions для тайпсквоттинга, вынуждая ничего не подозревающих пользователей посещать вредоносные сайты или загружать вредоносные программы и пакеты.


«Если разработчик допускает опечатку в своем GitHub Action, и это действие (action) совпадает с действием тайпсквоттера, то приложения будут запускать вредоносный код, а разработчик даже не узнает об этом», — пишут специалисты.


Такая атака возможна благодаря тому, что любой человек может опубликовать action на GitHub, создав GitHub-аккаунт с использованием временной учетной записи электронной почты. Учитывая, что GitHub Actions выполняются в контексте пользовательского репозитория, вредоносное действие может применяться для вмешательства в исходный код, кражи секретов и доставки вредоносного ПО.


Все, что понадобится сделать злоумышленнику — создать организации и репозитории с именами, которые очень похожи на популярные и широко используемые GitHub Actions. В результате, если пользователь допустит опечатку при настройке action для своего проекта, а неправильная версия уже будет создана злоумышленником, то в рамках воркфлоу пользователя будет запущено вредоносное действие.


«Представьте себе action, который ворует конфиденциальную информацию или модифицирует код, внедряя в него малозаметные ошибки или бэкдоры, потенциально влияющие на все последующие сборки и развертывания, — объясняют исследователи. — Более того, вредоносное действие может даже использовать ваши учетные данные GitHub для распространения вредоносных изменений в другие репозитории в вашей организации, масштабируя ущерб на множество проектов».


Специалисты Orca пишут, что уже обнаружили на GitHub 194 файла, которые используют «action/checkout» и «actons/checkout» вместо «actions/checkout» (отсутствуют буквы «s» и «i»), подвергая риску эти проекты.



Публичные репозитории, использующие организацию «action»

Исследователи считают, что такая форма тайпсквоттинга может быть весьма привлекательной для злоумышленников, поскольку это недорогая и эффективная атака, которая может привести к компрометации цепочки поставок, затронув сразу ряд клиентов.


Пользователям рекомендуется тщательно перепроверять свои GitHub Actions и следить за тем, чтобы там не было опечаток, использовать действия только из надежных источников и периодически проверять свой CI/CD воркфлоу на наличие ошибок.


«На самом деле проблема может оказаться еще серьезнее, так как мы рассматривали только то, что происходит в публичных репозиториях. Воздействие на частные репозитории, где те же самые опечатки могут привести к серьезным нарушениям безопасности, остается неизвестным», — заключают эксперты.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Аналитики компании Orca предупредили, что преступники могут использовать CI/CD платформу GitHub Actions для тайпсквоттинга, вынуждая ничего не подозревающих пользователей посещать вредоносные сайты или загружать вредоносные программы и пакеты. «Если разработчик допускает опечатку в своем GitHub Action, и это действие (action) совпадает с действием тайпсквоттера, то приложения будут запускать вредоносный код, а разработчик даже не узнает об этом», — пишут специалисты. Такая атака возможна благодаря тому, что любой человек может опубликовать action на GitHub, создав GitHub-аккаунт с использованием временной учетной записи электронной почты. Учитывая, что GitHub Actions выполняются в контексте пользовательского репозитория, вредоносное действие может применяться для вмешательства в исходный код, кражи секретов и доставки вредоносного ПО. Все, что понадобится сделать злоумышленнику — создать организации и репозитории с именами, которые очень похожи на популярные и широко используемые GitHub Actions. В результате, если пользователь допустит опечатку при настройке action для своего проекта, а неправильная версия уже будет создана злоумышленником, то в рамках воркфлоу пользователя будет запущено вредоносное действие. «Представьте себе action, который ворует конфиденциальную информацию или модифицирует код, внедряя в него малозаметные ошибки или бэкдоры, потенциально влияющие на все последующие сборки и развертывания, — объясняют исследователи. — Более того, вредоносное действие может даже использовать ваши учетные данные GitHub для распространения вредоносных изменений в другие репозитории в вашей организации, масштабируя ущерб на множество проектов». Специалисты Orca пишут, что уже обнаружили на GitHub 194 файла, которые используют «action/checkout» и «actons/checkout» вместо «actions/checkout» (отсутствуют буквы «s» и «i»), подвергая риску эти проекты. Публичные репозитории, использующие организацию «action» Исследователи считают, что такая форма тайпсквоттинга может быть весьма привлекательной для злоумышленников, поскольку это недорогая и эффективная атака, которая может привести к компрометации цепочки поставок, затронув сразу ряд клиентов. Пользователям рекомендуется тщательно перепроверять свои GitHub Actions и следить за тем, чтобы там не было опечаток, использовать действия только из надежных источников и периодически проверять свой CI/CD воркфлоу на наличие ошибок. «На самом деле проблема может оказаться еще серьезнее, так как мы рассматривали только то, что происходит в публичных репозиториях. Воздействие на частные репозитории, где те же самые опечатки могут привести к серьезным нарушениям безопасности, остается неизвестным», — заключают эксперты.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: