GitHub Actions уязвимы перед тайпсквоттингом - «Новости» » Интернет технологии
sitename
Из чего состоит разработка веб-приложений и зачем это знать бизнесу
Из чего состоит разработка веб-приложений и зачем это знать бизнесу
 Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
 На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
 Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
 Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
 Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
 Королевская почта Великобритании расследует возможную утечку данных - «Новости»
Королевская почта Великобритании расследует возможную утечку данных - «Новости»
 РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
 В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
 Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » GitHub Actions уязвимы перед тайпсквоттингом - «Новости»

✔GitHub Actions уязвимы перед тайпсквоттингом - «Новости»

10 сентября 2024 477 Новости / Текст / Вёрстка / Преимущества стилей / Сайтостроение / Изображения / Заработок / Самоучитель CSS / Формы 0

Аналитики компании Orca предупредили, что преступники могут использовать CI/CD платформу GitHub Actions для тайпсквоттинга, вынуждая ничего не подозревающих пользователей посещать вредоносные сайты или загружать вредоносные программы и пакеты.


«Если разработчик допускает опечатку в своем GitHub Action, и это действие (action) совпадает с действием тайпсквоттера, то приложения будут запускать вредоносный код, а разработчик даже не узнает об этом», — пишут специалисты.


Такая атака возможна благодаря тому, что любой человек может опубликовать action на GitHub, создав GitHub-аккаунт с использованием временной учетной записи электронной почты. Учитывая, что GitHub Actions выполняются в контексте пользовательского репозитория, вредоносное действие может применяться для вмешательства в исходный код, кражи секретов и доставки вредоносного ПО.


Все, что понадобится сделать злоумышленнику — создать организации и репозитории с именами, которые очень похожи на популярные и широко используемые GitHub Actions. В результате, если пользователь допустит опечатку при настройке action для своего проекта, а неправильная версия уже будет создана злоумышленником, то в рамках воркфлоу пользователя будет запущено вредоносное действие.


«Представьте себе action, который ворует конфиденциальную информацию или модифицирует код, внедряя в него малозаметные ошибки или бэкдоры, потенциально влияющие на все последующие сборки и развертывания, — объясняют исследователи. — Более того, вредоносное действие может даже использовать ваши учетные данные GitHub для распространения вредоносных изменений в другие репозитории в вашей организации, масштабируя ущерб на множество проектов».


Специалисты Orca пишут, что уже обнаружили на GitHub 194 файла, которые используют «action/checkout» и «actons/checkout» вместо «actions/checkout» (отсутствуют буквы «s» и «i»), подвергая риску эти проекты.



Публичные репозитории, использующие организацию «action»

Исследователи считают, что такая форма тайпсквоттинга может быть весьма привлекательной для злоумышленников, поскольку это недорогая и эффективная атака, которая может привести к компрометации цепочки поставок, затронув сразу ряд клиентов.


Пользователям рекомендуется тщательно перепроверять свои GitHub Actions и следить за тем, чтобы там не было опечаток, использовать действия только из надежных источников и периодически проверять свой CI/CD воркфлоу на наличие ошибок.


«На самом деле проблема может оказаться еще серьезнее, так как мы рассматривали только то, что происходит в публичных репозиториях. Воздействие на частные репозитории, где те же самые опечатки могут привести к серьезным нарушениям безопасности, остается неизвестным», — заключают эксперты.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Аналитики компании Orca предупредили, что преступники могут использовать CI/CD платформу GitHub Actions для тайпсквоттинга, вынуждая ничего не подозревающих пользователей посещать вредоносные сайты или загружать вредоносные программы и пакеты. «Если разработчик допускает опечатку в своем GitHub Action, и это действие (action) совпадает с действием тайпсквоттера, то приложения будут запускать вредоносный код, а разработчик даже не узнает об этом», — пишут специалисты. Такая атака возможна благодаря тому, что любой человек может опубликовать action на GitHub, создав GitHub-аккаунт с использованием временной учетной записи электронной почты. Учитывая, что GitHub Actions выполняются в контексте пользовательского репозитория, вредоносное действие может применяться для вмешательства в исходный код, кражи секретов и доставки вредоносного ПО. Все, что понадобится сделать злоумышленнику — создать организации и репозитории с именами, которые очень похожи на популярные и широко используемые GitHub Actions. В результате, если пользователь допустит опечатку при настройке action для своего проекта, а неправильная версия уже будет создана злоумышленником, то в рамках воркфлоу пользователя будет запущено вредоносное действие. «Представьте себе action, который ворует конфиденциальную информацию или модифицирует код, внедряя в него малозаметные ошибки или бэкдоры, потенциально влияющие на все последующие сборки и развертывания, — объясняют исследователи. — Более того, вредоносное действие может даже использовать ваши учетные данные GitHub для распространения вредоносных изменений в другие репозитории в вашей организации, масштабируя ущерб на множество проектов». Специалисты Orca пишут, что уже обнаружили на GitHub 194 файла, которые используют «action/checkout» и «actons/checkout» вместо «actions/checkout» (отсутствуют буквы «s» и «i»), подвергая риску эти проекты. Публичные репозитории, использующие организацию «action» Исследователи считают, что такая форма тайпсквоттинга может быть весьма привлекательной для злоумышленников, поскольку это недорогая и эффективная атака, которая может привести к компрометации цепочки поставок, затронув сразу ряд клиентов. Пользователям рекомендуется тщательно перепроверять свои GitHub Actions и следить за тем, чтобы там не было опечаток, использовать действия только из надежных источников и периодически проверять свой CI/CD воркфлоу на наличие ошибок. «На самом деле проблема может оказаться еще серьезнее, так как мы рассматривали только то, что происходит в публичных репозиториях. Воздействие на частные репозитории, где те же самые опечатки могут привести к серьезным нарушениям безопасности, остается неизвестным», — заключают эксперты.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: