Repositórios GitHub bombardeados por commits roubadores de informações disfarçados de Dependabot
28 de Setembro de 2023

Hackers estão invadindo contas do GitHub e inserindo códigos maliciosos disfarçados de contribuições do Dependabot para roubar segredos de autenticação e senhas de desenvolvedores.

A campanha ocorreu em julho de 2023, quando pesquisadores descobriram compromissos incomuns em centenas de repositórios públicos e privados forjados para parecerem compromissos do Dependabot.

Dependabot é uma ferramenta automatizada fornecida pelo GitHub que verifica projetos para dependências vulneráveis e emite automaticamente solicitações pull para instalar as versões atualizadas.

Como relatado hoje pela Checkmarx, essas falsas contribuições Dependabot foram possíveis usando tokens de acesso GitHub roubados com o objetivo dos invasores de injetar código malicioso para roubar os segredos do projeto.

O ataque começou com os invasores de alguma forma obtendo os tokens de acesso GitHub pessoais de seus alvos, o que a Checkmarx não tem informações sobre.

Os atores da ameaça parecem estar usando scripts automatizados para criar mensagens de commit falsas intituladas "fix" que parecem ser da conta do usuário "dependabot[bot]".

Esses commits introduzem códigos maliciosos no projeto que realizam as duas ações a seguir:

Extrair segredos do projeto GitHub alvo e enviá-los ao servidor de comando e controle do invasor.
Modifique os arquivos JavaScript existentes no repositório violado para adicionar malware que roube senhas de envios de formulários da web e as envie para o mesmo endereço C2.

A exfiltração de segredos é obtida adicionando o arquivo de ação GitHub "hook.yml" como um novo fluxo de trabalho acionado a cada evento de push de código no repositório afetado.

O componente ladrão de senhas injeta JavaScript ofuscado no final de todos os arquivos JavaScript (.js) que carregam o seguinte script de um local remoto.

Este script irá monitorar as submissões de formulário para roubar senhas de qualquer entrada de formulário do tipo 'password'.

Como muitos tokens comprometidos também concediam acesso a repositórios privados, o ataque afetou tanto repositórios públicos quanto privados do GitHub.

Os analistas da Checkmarx examinaram os registros de algumas vítimas e descobriram que suas contas foram comprometidas usando PATs roubados (tokens de acesso pessoal).

Esses tokens são armazenados localmente nos computadores dos desenvolvedores e podem ser usados para entrar no GitHub sem passar por etapas de 2FA (autenticação de dois fatores).

"Infelizmente, a atividade de login do token não é visível no log de auditoria da conta.

Então, se o seu token for comprometido, você não pode ter certeza porque os logs de acesso estão faltando", alerta a Checkmarx.

Embora a empresa de segurança cibernética não tenha chegado a uma conclusão concreta sobre como exatamente os invasores roubaram esses tokens, eles presumem que possa ser através de uma infecção por malware possivelmente introduzida no dispositivo do desenvolvedor através de um pacote malicioso.

A maioria dos usuários comprometidos é da Indonésia, o que implica em um ataque direcionado a essa demografia.

No entanto, as evidências disponíveis não fornecem detalhes específicos sobre o tema.

Uma medida proposta para se defender contra esses ataques é mudar para os tokens de acesso pessoal de granularidade fina do GitHub, que limita cada usuário a permissões específicas, reduzindo assim os riscos em caso de comprometimento.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...