Hackers podem falsificar metadados de commit para criar repositórios falsos do GitHub
Os pesquisadores de segurança da Checkmarx alertaram sobre uma nova tática emergente de ataque à cadeia de suprimentos envolvendo commits de metadados falsificados para apresentar repositórios maliciosos do GitHub como legítimos.
De acordo com os pesquisadores de segurança de TI da Checkmarx, essa técnica de ataque permite que os agentes de ameaças enganem os desenvolvedores a usar código malicioso. No sistema de controle de versão do Gut, os commits são elementos vitais, pois registram todas as alterações feitas nos documentos, a linha do tempo da alteração e quem fez a alteração.
Além disso, cada commit possui um hash ou ID exclusivo. Os desenvolvedores devem permanecer cautelosos, pois os agentes de ameaças podem falsificar alguns dados dos repositórios do GitHub para melhorar seu histórico e torná-los atraentes.
Como os metadados do commit podem enganar os desenvolvedores?
Os pesquisadores identificaram que um agente de ameaça pode adulterar metadados de confirmação para fazer um repositório parecer mais antigo do que é. Ou então, eles podem enganar os desenvolvedores promovendo os repositórios como confiáveis, já que contribuidores respeitáveis os mantêm. Também é possível falsificar a identidade do committer e atribuir o commit a uma conta genuína do GitHub.
Para sua informação, com o software de código aberto, os desenvolvedores podem criar aplicativos mais rapidamente e até mesmo ignorar a auditoria de código de terceiros se tiverem certeza de que a fonte do software é confiável. Eles podem escolher repositórios do GitHub mantidos ativamente ou seus contribuidores são confiáveis.
Os pesquisadores da Checkmarx explicaram em sua postagem no blog que os agentes de ameaças podem manipular os carimbos de data e hora dos commits, listados no GitHub. Os commits falsos também podem ser gerados automaticamente e adicionados ao gráfico de atividade do GitHub do usuário, permitindo que o invasor faça com que pareça ativo na plataforma por um longo tempo. O gráfico de atividade exibe a atividade em repositórios privados e públicos, tornando impossível desacreditar os commits falsos.
“Essa técnica de engano também pode ser difícil de detectar.”
Checkmarx
Táticas de ataque explicadas
Os agentes de ameaças recuperarão o ID de e-mail da conta de destino, que normalmente fica oculto se o operador tiver ativado esse recurso. Usando comandos específicos, o usuário mal-intencionado pode substituir o email e o nome de usuário originais pela versão falsificada no Git CLI para melhorar a reputação do repositório.
Vale a pena notar que o usuário personificado não receberá nenhuma notificação de que sua identidade é usada para fins nefastos. Para apresentar o projeto como confiável, os agentes de ameaças podem usar essa técnica várias vezes, incluir contribuidores de renome na seção de contribuidores do repositório e fazer com que o projeto pareça altamente legítimo.
Prevenção
Metadados falsos induzem os desenvolvedores a usar códigos que, de outra forma, evitariam, e os agentes de ameaças ganharão credibilidade. Para evitar o ataque, os pesquisadores da Checkmarx pediram que os desenvolvedores assinem seus commits e sempre mantenham o modo vigilante ativado nos usuários para garantir a segurança ideal do ecossistema de código. No modo vigilante, o status de verificação de seus commits é exibido, o que é um recurso atraente contra o ataque da cadeia de suprimentos.
Fonte: https://www.hackread.com/