GitHub Actions уязвимы перед тайпсквоттингом - «Новости» » Интернет технологии
sitename
Razer выпустила коллекцию геймерских аксессуаров по мотивам Zenless Zone Zero - «Новости сети»
Razer выпустила коллекцию геймерских аксессуаров по мотивам Zenless Zone Zero - «Новости сети»
 Инженеры Meta✴ создали лазерный дисплей толщиной 2 мм и обещают революцию в смарт-очках - «Новости сети»
Инженеры Meta✴ создали лазерный дисплей толщиной 2 мм и обещают революцию в смарт-очках - «Новости сети»
 Видео: робот Atlas от Boston Dynamics продолжает работать, пока его толкают, мешают и отбирают вещи - «Новости сети»
Видео: робот Atlas от Boston Dynamics продолжает работать, пока его толкают, мешают и отбирают вещи - «Новости сети»
 США взялись за спасение Intel: компания стала частично государственной - «Новости сети»
США взялись за спасение Intel: компания стала частично государственной - «Новости сети»
 Dark Souls, BioShock и Dishonored в одном флаконе: журналисты показали 33 минуты геймплея ролевого боевика Valor Mortis от создателей Ghostrunner - «Новости сети»
Dark Souls, BioShock и Dishonored в одном флаконе: журналисты показали 33 минуты геймплея ролевого боевика Valor Mortis от создателей Ghostrunner - «Новости сети»
 Новые возможности автоматического определителя номера для бизнеса от Яндекса — «Блог для вебмастеров»
Новые возможности автоматического определителя номера для бизнеса от Яндекса — «Блог для вебмастеров»
 Смартфон realme 15 Pro с Snapdragon 7 Gen 4 и батареей на 7000 мА·ч поступил в глобальную продажу - «Новости сети»
Смартфон realme 15 Pro с Snapdragon 7 Gen 4 и батареей на 7000 мА·ч поступил в глобальную продажу - «Новости сети»
 «Китайцы показывают, как надо делать игры»: геймеров впечатлил трейлер фэнтезийного боевика Swords of Legends в духе Black Myth: Wukong - «Новости сети»
«Китайцы показывают, как надо делать игры»: геймеров впечатлил трейлер фэнтезийного боевика Swords of Legends в духе Black Myth: Wukong - «Новости сети»
 Последнее обновление Windows 11 24H2 ломает SSD и HDD, но не везде - «Новости сети»
Последнее обновление Windows 11 24H2 ломает SSD и HDD, но не везде - «Новости сети»
 GeForce RTX 5080 теперь доступна за $20 в месяц — облачный игровой сервис Nvidia GeForce Now обновил инфраструктуру - «Новости сети»
GeForce RTX 5080 теперь доступна за $20 в месяц — облачный игровой сервис Nvidia GeForce Now обновил инфраструктуру - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » GitHub Actions уязвимы перед тайпсквоттингом - «Новости»

✔GitHub Actions уязвимы перед тайпсквоттингом - «Новости»

10 сентября 2024 538 Новости / Текст / Вёрстка / Преимущества стилей / Сайтостроение / Изображения / Заработок / Самоучитель CSS / Формы 0

Аналитики компании Orca предупредили, что преступники могут использовать CI/CD платформу GitHub Actions для тайпсквоттинга, вынуждая ничего не подозревающих пользователей посещать вредоносные сайты или загружать вредоносные программы и пакеты.


«Если разработчик допускает опечатку в своем GitHub Action, и это действие (action) совпадает с действием тайпсквоттера, то приложения будут запускать вредоносный код, а разработчик даже не узнает об этом», — пишут специалисты.


Такая атака возможна благодаря тому, что любой человек может опубликовать action на GitHub, создав GitHub-аккаунт с использованием временной учетной записи электронной почты. Учитывая, что GitHub Actions выполняются в контексте пользовательского репозитория, вредоносное действие может применяться для вмешательства в исходный код, кражи секретов и доставки вредоносного ПО.


Все, что понадобится сделать злоумышленнику — создать организации и репозитории с именами, которые очень похожи на популярные и широко используемые GitHub Actions. В результате, если пользователь допустит опечатку при настройке action для своего проекта, а неправильная версия уже будет создана злоумышленником, то в рамках воркфлоу пользователя будет запущено вредоносное действие.


«Представьте себе action, который ворует конфиденциальную информацию или модифицирует код, внедряя в него малозаметные ошибки или бэкдоры, потенциально влияющие на все последующие сборки и развертывания, — объясняют исследователи. — Более того, вредоносное действие может даже использовать ваши учетные данные GitHub для распространения вредоносных изменений в другие репозитории в вашей организации, масштабируя ущерб на множество проектов».


Специалисты Orca пишут, что уже обнаружили на GitHub 194 файла, которые используют «action/checkout» и «actons/checkout» вместо «actions/checkout» (отсутствуют буквы «s» и «i»), подвергая риску эти проекты.



Публичные репозитории, использующие организацию «action»

Исследователи считают, что такая форма тайпсквоттинга может быть весьма привлекательной для злоумышленников, поскольку это недорогая и эффективная атака, которая может привести к компрометации цепочки поставок, затронув сразу ряд клиентов.


Пользователям рекомендуется тщательно перепроверять свои GitHub Actions и следить за тем, чтобы там не было опечаток, использовать действия только из надежных источников и периодически проверять свой CI/CD воркфлоу на наличие ошибок.


«На самом деле проблема может оказаться еще серьезнее, так как мы рассматривали только то, что происходит в публичных репозиториях. Воздействие на частные репозитории, где те же самые опечатки могут привести к серьезным нарушениям безопасности, остается неизвестным», — заключают эксперты.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Аналитики компании Orca предупредили, что преступники могут использовать CI/CD платформу GitHub Actions для тайпсквоттинга, вынуждая ничего не подозревающих пользователей посещать вредоносные сайты или загружать вредоносные программы и пакеты. «Если разработчик допускает опечатку в своем GitHub Action, и это действие (action) совпадает с действием тайпсквоттера, то приложения будут запускать вредоносный код, а разработчик даже не узнает об этом», — пишут специалисты. Такая атака возможна благодаря тому, что любой человек может опубликовать action на GitHub, создав GitHub-аккаунт с использованием временной учетной записи электронной почты. Учитывая, что GitHub Actions выполняются в контексте пользовательского репозитория, вредоносное действие может применяться для вмешательства в исходный код, кражи секретов и доставки вредоносного ПО. Все, что понадобится сделать злоумышленнику — создать организации и репозитории с именами, которые очень похожи на популярные и широко используемые GitHub Actions. В результате, если пользователь допустит опечатку при настройке action для своего проекта, а неправильная версия уже будет создана злоумышленником, то в рамках воркфлоу пользователя будет запущено вредоносное действие. «Представьте себе action, который ворует конфиденциальную информацию или модифицирует код, внедряя в него малозаметные ошибки или бэкдоры, потенциально влияющие на все последующие сборки и развертывания, — объясняют исследователи. — Более того, вредоносное действие может даже использовать ваши учетные данные GitHub для распространения вредоносных изменений в другие репозитории в вашей организации, масштабируя ущерб на множество проектов». Специалисты Orca пишут, что уже обнаружили на GitHub 194 файла, которые используют «action/checkout» и «actons/checkout» вместо «actions/checkout» (отсутствуют буквы «s» и «i»), подвергая риску эти проекты. Публичные репозитории, использующие организацию «action» Исследователи считают, что такая форма тайпсквоттинга может быть весьма привлекательной для злоумышленников, поскольку это недорогая и эффективная атака, которая может привести к компрометации цепочки поставок, затронув сразу ряд клиентов. Пользователям рекомендуется тщательно перепроверять свои GitHub Actions и следить за тем, чтобы там не было опечаток, использовать действия только из надежных источников и периодически проверять свой CI/CD воркфлоу на наличие ошибок. «На самом деле проблема может оказаться еще серьезнее, так как мы рассматривали только то, что происходит в публичных репозиториях. Воздействие на частные репозитории, где те же самые опечатки могут привести к серьезным нарушениям безопасности, остается неизвестным», — заключают эксперты.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: