GitHub Actions уязвимы перед тайпсквоттингом - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
 Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
 Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
 Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
 Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
 Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
 Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
 Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
 Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
 «Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » GitHub Actions уязвимы перед тайпсквоттингом - «Новости»

✔GitHub Actions уязвимы перед тайпсквоттингом - «Новости»

10 сентября 2024 343 Новости / Текст / Вёрстка / Преимущества стилей / Сайтостроение / Изображения / Заработок / Самоучитель CSS / Формы 0

Аналитики компании Orca предупредили, что преступники могут использовать CI/CD платформу GitHub Actions для тайпсквоттинга, вынуждая ничего не подозревающих пользователей посещать вредоносные сайты или загружать вредоносные программы и пакеты.


«Если разработчик допускает опечатку в своем GitHub Action, и это действие (action) совпадает с действием тайпсквоттера, то приложения будут запускать вредоносный код, а разработчик даже не узнает об этом», — пишут специалисты.


Такая атака возможна благодаря тому, что любой человек может опубликовать action на GitHub, создав GitHub-аккаунт с использованием временной учетной записи электронной почты. Учитывая, что GitHub Actions выполняются в контексте пользовательского репозитория, вредоносное действие может применяться для вмешательства в исходный код, кражи секретов и доставки вредоносного ПО.


Все, что понадобится сделать злоумышленнику — создать организации и репозитории с именами, которые очень похожи на популярные и широко используемые GitHub Actions. В результате, если пользователь допустит опечатку при настройке action для своего проекта, а неправильная версия уже будет создана злоумышленником, то в рамках воркфлоу пользователя будет запущено вредоносное действие.


«Представьте себе action, который ворует конфиденциальную информацию или модифицирует код, внедряя в него малозаметные ошибки или бэкдоры, потенциально влияющие на все последующие сборки и развертывания, — объясняют исследователи. — Более того, вредоносное действие может даже использовать ваши учетные данные GitHub для распространения вредоносных изменений в другие репозитории в вашей организации, масштабируя ущерб на множество проектов».


Специалисты Orca пишут, что уже обнаружили на GitHub 194 файла, которые используют «action/checkout» и «actons/checkout» вместо «actions/checkout» (отсутствуют буквы «s» и «i»), подвергая риску эти проекты.



Публичные репозитории, использующие организацию «action»

Исследователи считают, что такая форма тайпсквоттинга может быть весьма привлекательной для злоумышленников, поскольку это недорогая и эффективная атака, которая может привести к компрометации цепочки поставок, затронув сразу ряд клиентов.


Пользователям рекомендуется тщательно перепроверять свои GitHub Actions и следить за тем, чтобы там не было опечаток, использовать действия только из надежных источников и периодически проверять свой CI/CD воркфлоу на наличие ошибок.


«На самом деле проблема может оказаться еще серьезнее, так как мы рассматривали только то, что происходит в публичных репозиториях. Воздействие на частные репозитории, где те же самые опечатки могут привести к серьезным нарушениям безопасности, остается неизвестным», — заключают эксперты.


Аналитики компании Orca предупредили, что преступники могут использовать CI/CD платформу GitHub Actions для тайпсквоттинга, вынуждая ничего не подозревающих пользователей посещать вредоносные сайты или загружать вредоносные программы и пакеты. «Если разработчик допускает опечатку в своем GitHub Action, и это действие (action) совпадает с действием тайпсквоттера, то приложения будут запускать вредоносный код, а разработчик даже не узнает об этом», — пишут специалисты. Такая атака возможна благодаря тому, что любой человек может опубликовать action на GitHub, создав GitHub-аккаунт с использованием временной учетной записи электронной почты. Учитывая, что GitHub Actions выполняются в контексте пользовательского репозитория, вредоносное действие может применяться для вмешательства в исходный код, кражи секретов и доставки вредоносного ПО. Все, что понадобится сделать злоумышленнику — создать организации и репозитории с именами, которые очень похожи на популярные и широко используемые GitHub Actions. В результате, если пользователь допустит опечатку при настройке action для своего проекта, а неправильная версия уже будет создана злоумышленником, то в рамках воркфлоу пользователя будет запущено вредоносное действие. «Представьте себе action, который ворует конфиденциальную информацию или модифицирует код, внедряя в него малозаметные ошибки или бэкдоры, потенциально влияющие на все последующие сборки и развертывания, — объясняют исследователи. — Более того, вредоносное действие может даже использовать ваши учетные данные GitHub для распространения вредоносных изменений в другие репозитории в вашей организации, масштабируя ущерб на множество проектов». Специалисты Orca пишут, что уже обнаружили на GitHub 194 файла, которые используют «action/checkout» и «actons/checkout» вместо «actions/checkout» (отсутствуют буквы «s» и «i»), подвергая риску эти проекты. Публичные репозитории, использующие организацию «action» Исследователи считают, что такая форма тайпсквоттинга может быть весьма привлекательной для злоумышленников, поскольку это недорогая и эффективная атака, которая может привести к компрометации цепочки поставок, затронув сразу ряд клиентов. Пользователям рекомендуется тщательно перепроверять свои GitHub Actions и следить за тем, чтобы там не было опечаток, использовать действия только из надежных источников и периодически проверять свой CI/CD воркфлоу на наличие ошибок. «На самом деле проблема может оказаться еще серьезнее, так как мы рассматривали только то, что происходит в публичных репозиториях. Воздействие на частные репозитории, где те же самые опечатки могут привести к серьезным нарушениям безопасности, остается неизвестным», — заключают эксперты.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: