Atacantes cibernéticos, nos últimos meses, registraram mais de 100.000 — mas, segundo algumas estimativas, mais de um milhão — de repositórios maliciosos de imitação no GitHub. “Quase 100.000 PCs de usuários que fizeram login no GitHub foram infectados com malware nos últimos 90 dias.”
O esquema de “confusão de repositório” é simples: copiar, trojanizar e reenviar programaticamente repositórios existentes, na esperança de que os desenvolvedores baixem o errado.
Os mecanismos automáticos de segurança do GitHub parecem identificar e remover a maioria dessas falsificações baratas, mas, de acordo com uma nova pesquisa da Apiiro, muitas ainda estão escapando pelas fendas.
Anatomia de um Ataque de Confusão de Repositório
A confusão de repositório funciona exatamente como a confusão de dependência em gerenciadores de pacotes, enganando desenvolvedores desavisados para baixar cópias quase idênticas do código que realmente desejam, com malware silenciosamente adicionado como bônus.
Este malware, por sua vez, é incorporado em projetos de software e causa riscos downstream na cadeia de abastecimento.
A chave para o sucesso com esta última campanha é a automação. O atacante tem clonado, infectado e reenviado repositórios automaticamente em escala, empurrando o que os pesquisadores estimam serem milhões de repositórios no total. E para adicionar legitimidade, o processo de automação bifurca esses projetos milhares de vezes cada um e os promove em vários fóruns e aplicativos da Web.
Assim, quando os desenvolvedores, privados de sono ou multitarefa, bifurcam o imitador em vez do original, eles serão servidos com uma cópia altamente obfuscada do BlackCap Grabber, que coleta credenciais de vários aplicativos, cookies do navegador e outros dados, além de outras funções maliciosas.
O GitHub, por sua vez, tem retirado a maioria desses repositórios maliciosos dentro de horas após sua publicação.
“No entanto, a detecção automatizada parece estar a perder muitos repositórios, e os que foram carregados manualmente sobrevivem. Como toda a cadeia de ataque parece ser principalmente automatizada em grande escala, o 1% que sobrevive ainda representa milhares de repositórios maliciosos,” explicou a Apiiro em seu post no blog.
Um porta-voz do GitHub disse que a organização está trabalhando na extração do código malicioso. “O GitHub hospeda mais de 100 milhões de desenvolvedores trabalhando em mais de 420 milhões de repositórios e está comprometido em fornecer uma plataforma segura para os desenvolvedores. Temos equipes dedicadas à detecção, análise e remoção de conteúdo e contas que violam nossas políticas de uso aceitável. Empregamos revisões manuais e detecções em escala que usam aprendizado de máquina e constantemente evoluem e se adaptam a táticas adversárias”, disse o porta-voz em um comunicado. “Também incentivamos clientes e membros da comunidade a denunciar abuso e spam.”
Por que o GitHub é usado em ataques de confusão
O GitHub, por natureza, oferece certas vantagens para ataques de confusão. “A facilidade de geração automática de contas e repositórios no GitHub e similares, usando APIs confortáveis e limites de taxa suaves que são fáceis de contornar, combinados com o enorme número de repositórios para se esconder, tornam-no um alvo perfeito para infectar secretamente a cadeia de abastecimento de software”, escreveu a Apiiro.
Shawn Loveland, diretor operacional da Resecurity, aponta dois problemas adicionais. “Um é um trade-off entre privacidade e segurança: o GitHub não está olhando para os repositórios, mas então criminosos podem alavancá-los”, diz Loveland. “E o outro é apenas o grande número de contas do GitHub que estão comprometidas, o que permite que atores maliciosos entrem em repositórios privados e depois façam duplicatas.”
Os criminosos cibernéticos também podem copiar repositórios públicos sem esse acesso extra.
“Eu apenas olhei em nosso banco de dados”, observa Loveland. “Quase 100.000 PCs de usuários que fizeram login no GitHub foram infectados com malware nos últimos 90 dias.”
Como as organizações podem se proteger tanto dos efeitos diretos quanto dos downstream de um repositório malicioso do GitHub? “As empresas precisam ter uma política sobre o uso do GitHub [que seja] comunicada com seus funcionários e fornecedores, mesmo que elas mesmas não usem o GitHub“, sugere ele, porque mesmo empresas que não se envolvem diretamente com código de terceiros dependem de desenvolvedores em algum momento em suas cadeias de abastecimento.
“Até uma empresa que não tem ninguém usando o GitHub ainda pode ser vitimada”, diz Loveland.
Saiba mais sobre o mundo da cibersegurança, aqui no nosso blog.
