Agentes de ameaças há muito utilizam o typosquatting como um meio de enganar usuários desatentos para que acessem websites maliciosos ou façam o download de softwares e pacotes com armadilhas.
Esses ataques geralmente envolvem o registro de domínios ou pacotes com nomes ligeiramente alterados em relação aos seus equivalentes legítimos (por exemplo, goog1e.com vs.google.com).
Os adversários visando repositórios de código aberto em várias plataformas contam com erros de digitação dos desenvolvedores para iniciar ataques à cadeia de suprimentos de software através de PyPI, npm, Maven Central, NuGet, RubyGems e Crate.
As últimas descobertas da empresa de segurança em nuvem Orca mostram que até mesmo o GitHub Actions, uma plataforma de integração contínua e entrega contínua (CI/CD), não está imune à ameaça.
"Se os desenvolvedores cometerem um erro de digitação em sua ação do GitHub que corresponda a uma ação de typosquatter, aplicações poderiam ser feitas para executar código malicioso sem que o desenvolvedor sequer perceba", disse o pesquisador de segurança Ofir Yakobi em um relatório.
O ataque é possível porque qualquer pessoa pode publicar uma ação no GitHub criando uma conta no GitHub com uma conta de e-mail temporária.
Dado que as ações são executadas dentro do contexto do repositório de um usuário, uma ação maliciosa poderia ser explorada para adulterar o código-fonte, roubar segredos e usá-los para entregar malware.
Tudo o que a técnica envolve é o atacante criar organizações e repositórios com nomes que se assemelham de perto com ações do GitHub populares ou amplamente utilizadas.
Se um usuário comete erros de ortografia inadvertidos ao configurar uma ação do GitHub para seu projeto e essa versão mal escrita já foi criada pelo adversário, então o fluxo de trabalho do usuário executará a ação maliciosa em vez da intencionada.
"Imagine uma ação que exfiltra informações sensíveis ou modifica o código para introduzir bugs sutis ou backdoors, afetando potencialmente todas as futuras construções e implantações", disse Yakobi.
De fato, uma ação comprometida pode até mesmo aproveitar suas credenciais do GitHub para empurrar mudanças maliciosas para outros repositórios dentro de sua organização, ampliando o dano em vários projetos.
A Orca disse que uma pesquisa no GitHub revelou até 198 arquivos que invocam "action/checkout" ou "actons/checkout" em vez de "actions/checkout" (note o "s" e o "i" faltantes), colocando todos esses projetos em risco.
Esta forma de typosquatting é atraente para agentes de ameaças porque é um ataque de baixo custo e alto impacto que poderia resultar em comprometimentos poderosos da cadeia de suprimentos de software, afetando vários clientes downstream ao mesmo tempo.
Os usuários são aconselhados a verificar duas vezes as ações e seus nomes para garantir que estão referenciando a organização correta do GitHub, a se ater a ações de fontes confiáveis e a escanear periodicamente seus fluxos de trabalho CI/CD para problemas de typosquatting.
"Este experimento destaca como é fácil para os atacantes explorarem o typosquatting em ações do GitHub e a importância da vigilância e das melhores práticas na prevenção de tais ataques", disse Yakobi.
O problema real é ainda mais preocupante porque aqui estamos apenas destacando o que acontece em repositórios públicos.
O impacto em repositórios privados, onde os mesmos erros de digitação poderiam estar levando a violações de segurança graves, permanece desconhecido.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...