GitHACK! Chúng tôi là lỗ hổng

Github bị tấn công? Hầu hết điều đó nghe có vẻ không quá phi lý vì các công ty công nghệ lớn và những công ty nhỏ đã bị hack trước đây. Tuy nhiên, điều này không có nghĩa là khả năng Github bị tấn công là cao. Tại sao vậy? Github là kho lưu trữ mã mở chính cho tất cả mọi người trong ngành CNTT.

Bất kể phân ngành. Ngay cả khi ai đó làm Hệ thống nhúng, phát triển Web3, phát triển Web2, khoa học dữ liệu, v.v. thì hầu hết đều sử dụng Github để lưu trữ mã của họ. Chính vì điều này mà tính bảo mật của Github luôn ở mức cực kỳ cao. Không chỉ vì họ muốn được người dùng tin tưởng mà còn vì mã trên kho Github của người dùng chứa đầy khóa cá nhân tiền điện tử, khóa riêng API, thông tin xác thực tài chính và thậm chí là phần mềm độc quyền của nhiều công ty trong ngành CNTT trên toàn cầu. Chính vì lý do này mà Github luôn tỏ ra cứng rắn với khả năng bảo mật và khả năng truy cập của người dùng, đó là lý do tại sao việc hack của họ, mặc dù không hoàn toàn đáng ngạc nhiên nhưng lại rất đáng ngạc nhiên và đáng lo ngại.

Bối cảnh của Githack:

Đó là kiểu tấn công hack nào? Đó là một cuộc tấn công bằng phần mềm độc hại. Vì vậy, không phải là một cuộc tấn công DDoS truyền thống hoặc một cuộc tấn công xâm nhập cưỡng bức mà người ta có thể mong đợi, nhưng có khả năng gây chết người nhiều hơn. Kẻ tấn công / tin tặc đã tải lên một phần rộng rãi Phần mềm độc hại vào các kho lưu trữ khác nhau trên nền tảng.

Phần mềm độc hại làm gì? nó sao chép mọi thông tin tài chính, thông tin xác thực và các khóa mật mã riêng, về cơ bản là ENV của tập lệnh. Sau đó, khi được chấp nhận vào kho lưu trữ và chạy cục bộ trên các máy tính bị ảnh hưởng sau đó, nó sẽ sao chép và gửi thông tin đến kẻ tấn công. Vì vậy, không phải là hack theo nghĩa truyền thống mà chắc chắn là hack vì thông tin vẫn được trích xuất thông qua các phương tiện vi phạm dữ liệu không có sự đồng thuận.

Phạm vi của cuộc tấn công hack là gì? cuộc tấn công cố gắng cụ thể này đã đạt không ít hơn và không ít hơn 35.000 kho lưu trữ Github. Nó đã thâm nhập vào các kho lưu trữ như kho lưu trữ python, kho lưu trữ golang, kho lưu trữ docker và kho lưu trữ bash. Một số kho lưu trữ bị ảnh hưởng thậm chí đã được lưu trữ và không sử dụng. Một số thậm chí đã được nhìn thấy với phần mềm độc hại bên trong chúng từ năm 2015. Điều này cho thấy rằng vụ hack là một cuộc tấn công được lập kế hoạch và ghi chép đầy đủ.

Làm thế nào nó xâm nhập vào các kho lưu trữ Github? Nó được thêm vào kho lưu trữ Github thông qua một cam kết và trong cam kết thông qua các tập lệnh npm hoặc các phân loại hình ảnh docker khác nhau. Vì vậy, chủ yếu, bạn sẽ chỉ dễ bị tấn công nếu dự án của bạn sử dụng javascript theo một cách nào đó hoặc một docker. Sau đó, nếu cam kết được chấp nhận và được sao chép và sử dụng trong kho lưu trữ chính, những người dùng đã nhân bản nó sẽ bị ảnh hưởng.

Làm thế nào để ngăn chặn điều này?

Khi tôi gõ về sự cố này, tất cả các bên liên quan đến việc dọn dẹp, chủ sở hữu kho lưu trữ và Github, đã trong quá trình kiểm soát thiệt hại và đảm bảo điều này không xảy ra lần nữa. Chúng ta chỉ có thể suy đoán và tự hỏi liệu Github sẽ sử dụng các kỹ thuật bảo mật và biện pháp phòng thủ khác nhau nào để bảo vệ bản thân khỏi các cuộc tấn công trong tương lai. Vì vậy, chúng ta phải tập trung vào chúng ta với tư cách cá nhân hoặc nhóm. Chúng ta có thể làm gì trong khả năng của mình để ngăn chặn hành vi trộm cắp dữ liệu như thế này trong tương lai?

• Không chấp nhận yêu cầu đẩy từ những người ngẫu nhiên vào kho lưu trữ của bạn. Tôi biết điều này có thể khó hơn đối với hầu hết các dự án mã nguồn mở lớn. Tuy nhiên, hãy thận trọng khi chấp nhận các yêu cầu đẩy, Đặc biệt nếu các yêu cầu đẩy sẽ chỉnh sửa các biến môi trường của ứng dụng của bạn.

• Luôn kiểm tra chính xác những gì bạn đang nhân bản từ kho lưu trữ git. Tôi biết hầu hết chúng ta chủ động không làm điều này. Đơn giản vì kho chứa quá nhiều tệp và thư mục nên việc theo dõi và phân tích từng tệp một sẽ rất mệt mỏi. Vì vậy, sẽ là khôn ngoan khi kiểm tra các tệp quan trọng nhất như tệp readme và .env.

• Sử dụng kiểm tra bảo mật trong các yêu cầu đẩy. Github thực sự có một khuôn khổ bảo mật, do Githook điều khiển, cho phép bạn gửi các yêu cầu bài đăng HTTP khi một số sự kiện nhất định được đáp ứng trong quá trình yêu cầu đẩy. Có các công nghệ khác nhau có thể phân tích yêu cầu đẩy hoặc kéo của bạn đối với các lỗ hổng bảo mật, vi rút phổ biến và các loại vi phạm bảo mật khác trong mã của bạn.

Nhìn chung, đây là một bài học cho tất cả chúng ta. Các cuộc tấn công mà các tổ chức / người bất chính có thể thực hiện không chỉ thô sơ mà còn tiên tiến và rất vô điều kiện cũng như được lên kế hoạch dài hạn. Là các nhà phát triển, chúng ta cần nhận thức rõ hơn về các lỗ hổng trong mã, kho lưu trữ, máy tính và thậm chí cả bản thân chúng ta và nếu ai đó muốn có thông tin, họ có thể tìm những cách rất khác nhau để lấy nó. Ngay cả khi Internet phải an toàn, không có nghĩa là nó được. Mọi người đều làm phần việc của mình để đảm bảo an toàn cho dữ liệu của riêng bạn và nếu bạn có thể, hãy tìm cách giúp những người khác giữ an toàn cho dữ liệu của họ.

Để đọc thêm về tình hình, hãy truy cập vào đây: https://www.bleepingcomputer.com/news/security/35-000-code-repos-not-hacked-but-clones-flood-github-to-serve-malware/