ギットハック！私たちは脆弱性です

Github がハッキングされている？主要なテクノロジー企業と小規模な企業が以前にハッキングされたことがあるため、ほとんどの人にとってそれはそれほど不合理に聞こえません.ただし、Github がハッキングされる可能性が高いというわけではありません。何故ですか？ Github は、IT 業界の主要なオープン コード リポジトリです。

サブセクター問わず。誰かが組み込みシステム、Web3 開発、Web2 開発、データ サイエンスなどを行っている場合でも、ほとんどの場合、Github を使用してコードを保存します。 Github のセキュリティが常に非常に高いのはこのためです。ユーザーから信頼されたいという理由だけでなく、ユーザーの Github リポジトリのコードが、暗号秘密鍵、API 秘密鍵、金融認証情報、さらには世界中の IT 業界の複数の企業の独自ソフトウェアで満たされているためでもあります。このため、Github は常にセキュリティとユーザーのアクセシビリティに厳しく対処してきました。そのため、Github のハッキングは、まったく驚くべきことではありませんが、非常に驚くべきことであり、懸念すべきことです。

Githack のコンテキスト:

それはどのような種類のハッキング攻撃でしたか?マルウェア攻撃です。つまり、従来の DDoS 攻撃や強制侵入攻撃ではなく、より致命的なものになる可能性があります。ハッカー/ハッカーは、プラットフォーム全体のさまざまなリポジトリに広範なマルウェアをアップロードしました。

マルウェアは何をしますか?財務情報、認証情報、秘密暗号鍵、基本的にはスクリプトの ENV をコピーします。次に、リポジトリに受け入れられ、影響を受けたコンピュータでローカルに実行されると、情報をコピーして攻撃者に送信します。したがって、従来の意味でのハッキングではなく、同意のないデータ侵害手段を通じて情報が抽出されたため、ハッキングであることは間違いありません。

ハッキング攻撃の範囲は？この特定のハッキングの試みは、35,000 以上の Github リポジトリに達していません。 python リポジトリ、golang リポジトリ、docker リポジトリ、bash リポジトリなどのリポジトリに侵入しています。影響を受けたリポジトリの一部はアーカイブされ、使用されていませんでした。中には、2015 年からマルウェアが内部にあるのが確認されているものもあります。これは、ハッキングが十分に文書化され、計画されたものであることを示しています。

Github リポジトリにどのように侵入しますか?これは、コミットを通じて Github リポジトリに追加され、npm スクリプトまたは別の Docker イメージ分類を通じてコミットに追加されます。したがって、主に、プロジェクトが何らかの方法または docker で JavaScript を使用している場合にのみ脆弱になります。その後、コミットが受け入れられ、複製されてメイン リポジトリで使用されると、それを複製したユーザーが影響を受けます。

これを防ぐ方法は？

この事件について私がタイプした時点で、クリーンアップに関係するすべての関係者、リポジトリの所有者、および Github は、すでにダメージ コントロールの過程にあり、これが再び起こらないようにしています。 Github が将来の攻撃から身を守るために使用するさまざまなセキュリティ技術と防御策については、推測し、疑問に思うことしかできません。そのため、私たちは個人またはグループとしての私たちに焦点を当てなければなりません。このような将来のデータ盗難を阻止するために、私たちには何ができるでしょうか?

• ランダムな人からリポジトリへのプッシュ リクエストを受け入れないでください。これは、ほとんどの大規模なオープン ソース プロジェクトでは難しいかもしれません。ただし、プッシュ リクエストを受け入れるときは注意が必要です。特に、プッシュ リクエストがアプリケーションの環境変数を編集する場合は注意が必要です。

• git リポジトリから正確に何をクローンしているのかを常に確認してください。私たちのほとんどが積極的にこれを行っていないことを私は知っています。リポジトリには非常に多くのファイルとフォルダーが含まれているため、それらを追跡して 1 つずつ分析するのは面倒です。そのため、readme ファイルや .env ファイルなどの最も重要なファイルを確認することをお勧めします。

• プッシュ リクエストでセキュリティ テストを使用します。 Github には実際には Githook によって駆動されるセキュリティ フレームワークがあり、プッシュ リクエスト中に特定のイベントが発生したときに HTTP ポスト リクエストを送信できます。コード内のセキュリティの脆弱性、一般的なウイルス、およびその他の種類のセキュリティ違反について、プッシュまたはプル リクエストを分析できるさまざまなテクノロジがあります。

全体として、これを私たち全員への教訓にしましょう。悪意のある組織/人々が行う可能性のある攻撃は、初歩的なものだけでなく、高度で非常に無条件であり、長期的に計画されています.開発者として、私たちのコード、リポジトリ、コンピューター、さらには自分自身の脆弱性についてもっと認識する必要があります。また、情報が必要な場合は、さまざまな方法で入手できることを知っておく必要があります。インターネットが安全であるべきだとしても、そうであるとは限りません。自分のデータを安全に保つために自分の役割を果たすことは、すべての人にかかっています。また、可能であれば、他の人が自分のデータを安全に保つのを助ける方法を見つけることもできます。

状況の詳細については、 https ://www.bleepingcomputer.com/news/security/35-000-code-repos-not-hacked-but-clones-flood-github-to-serve-malware/ を参照してください。