BleepingComputer kısa bir süre önce, bir GitHub kusurunun veya muhtemelen bir tasarım kararının, tehdit aktörleri tarafından Microsoft depolarıyla ilişkili URL'leri kullanarak kötü amaçlı yazılım dağıtmak için nasıl istismar edildiğini ve dosyaların güvenilir görünmesini nasıl sağladığını bildirdi.
Şimdi ortaya çıkıyor, Gitlab da bu konudan etkileniyor ve benzer bir şekilde istismar edilebilir.
Kötü amaçlı yazılımla ilişkili etkinliğin çoğu Microsoft GitHub URL'lerine dayanırken, bu "kusur" GitHub veya GitLab'daki herhangi bir kamu deposu ile kötüye kullanılabilir ve bu da tehdit aktörlerinin çok ikna edici yemler yaratmasına izin verir.
Cumartesi günü, BleepingComputer, tehdit aktörlerinin GitHub yorumlarını kötü amaçlı yazılımları zorlamak için nasıl kötüye kullandığını ve kötü niyetli dosyaların güvenilir kuruluşların resmi kaynak kodu depolarında barındırıldığını gösterdiğini bildirdi.
Örneğin, saldırıda kullanılan aşağıdaki URL'ler, bu fermuarların Microsoft'un kaynak kodu reposunda mevcut gibi görünmesini sağladı:
Ancak araştırmamızın ardından, kötü amaçlı yazılım olan bu dosyaların Microsoft'un kod repo'sunda hiçbir yerde bulunmadığını öğrendik.
Aksine, bunlar GitHub'ın CDN'sinde vardı ve muhtemelen platformun "Yorumlar" özelliğini istismar eden bir tehdit oyuncusu tarafından yüklendi.
Bir taahhüt veya çekme isteği hakkında bir yorum bırakırken, bir GitHub kullanıcısı GitHub'ın CDN'sine yüklenecek ve ilgili proje ile ilişkilendirilecek bir dosya (arşivler, belgeler vb.) Ekleyebilir: 'https:' https: //www.github.com/ {project_user }/ {repo_name }/files/ {file_id }/ {file_name}. '
Videolar ve resimler için dosyalar bunun yerine / varlıklar / yol altında saklanır.
Bir yorum yayınlandıktan sonra URL'yi oluşturmak yerine GitHub, aşağıda gösterildiği gibi dosyayı kaydedilmemiş bir yoruma ekledikten sonra indirme bağlantısını otomatik olarak oluşturur. Bu, tehdit aktörlerinin kötü amaçlı yazılımlarını bilmeden herhangi bir depoya eklemelerini sağlar.
Yorum asla kullanıcı (veya bir saldırgan) tarafından gerçekten yayınlanmamış veya daha sonra silinmemiş olsa bile, dosyanın bağlantısı canlı olarak kalır.
Otomatik Kötü Yazılım Analiz Hizmeti Uncme'den Sergei Frankoff, geçen ay bu hata hakkında canlı aktörlerin aktif olarak kötüye kullandığını söyledi.
Raporlamamızdan kısa bir süre sonra, okuyucular Gitlab'ın da bu konudan bağışık olmadığına dikkat çekti.
BleepingComputer, kullanıcıların GitLab'daki "yorumlar" özelliğini benzer bir şekilde kötüye kullanabileceğini doğrulayabilir.
Testlerimizde, GitLab'ın CDN'sine yüklenecek dosyaları yükleyebildik, ancak bunlar Inkscape ve Wireshark gibi popüler açık kaynak projelerinin GitLab depolarıyla var gibi görünüyoruz:
Testimizde kullanılan dosya, bu özelliği kötüye kullanarak, tehdit aktörlerinin kötü amaçlı yazılımlarla bağlanmış sahte yazılım bültenlerini indirmeye nasıl yanıltıcı olabileceğini göstermek için .exe olarak yeniden adlandırılan iyi huylu bir JPG görüntüsüdür.
GitLab CDN'ye yüklenen bu tür dosyaların ardından:
https://gitlab.com/ {project_group_namr }/ {repo_name }/uploads/ {file_id }/ {file_name}
Buradaki File_ID, daha basit bir sayısal tanımlayıcının aksine bir MD4 veya MD5 karma gibi görünüyor.
GitHub'da olduğu gibi, oluşturulan GitLab dosya bağlantıları, yorum asla saldırgan tarafından gönderilmese veya daha sonra silinmemiş olsa bile hayatta kalacaktır.
GitLab, kullanıcıların bu dosyaları yükleyebilmeleri veya indirebilmeleri için oturum açmalarını ister, ancak bu, tehdit aktörlerinin bu dosyaları ilk etapta yüklemesini önlemek için hiçbir şey yapmaz.
Hemen hemen her yazılım şirketi GitHub veya GitLab kullandığından, bu kusur tehdit aktörlerinin olağanüstü kurnaz ve güvenilir yemler geliştirmesine izin verir.
Örneğin, bir tehdit oyuncusu, NVIDIA'nın sürücü yükleyici repo'suna, popüler bir oyunda yeni bir sürücü düzeltme sorunları gibi davranan bir kötü amaçlı yazılım yükleyebilir. Veya bir tehdit oyuncusu, Google Chromium kaynak koduna bir yorumda bir dosya yükleyebilir ve web tarayıcısının yeni bir test sürümü gibi davranabilir.
Bu URL'ler ayrıca şirketin depolarına ait gibi görünecek şekilde onları çok daha güvenilir hale getiriyor.
Ne yazık ki, bir şirket depolarının kötü amaçlı yazılım dağıtmak için istismar edildiğini öğrense bile, projelerine bağlı dosyaları yönetmelerine veya silmelerini sağlayacak herhangi bir ayar bulamadık.
BleepingComputer, 18 Nisan Perşembe günü bu istismar hakkında hem Github hem de Microsoft ile temasa geçti, ancak bir yanıt almadı. Ayrıca GitLab'a yayınlanmadan önce yorum yapmak için yaklaştık ve bir yanıt bekliyoruz.
Github Yorumları Microsoft Repo URL'leri aracılığıyla kötü amaçlı yazılımları zorlamak için istismar edildi
Sahte hile, oyuncuları infostealer kötü amaçlı yazılımları yaymaya yemin eder
GitHub Push KeyZetsu Kötü Yazılımında Kötü niyetli Visual Studio Projeleri
Coralraider saldırıları, Info-Stealer kötü amaçlı yazılımları itmek için CDN önbelleği kullanır
Hackerlar, Guptiminer kötü amaçlı yazılımları bırakmak için antivirüs güncellemelerini ele geçiriyor
Kaynak: Bleeping Computer