آسیبپذیری در GitHub به مهاجمان اجازه میدهد با ایجاد اکانتهای جعلی و ارسال درخواستهای Pull آلوده، کدهای مخرب را به پروژههای منبعباز تزریق کنند.
به گزارش افتانا، یک آسیبپذیری درGitHub کشف شده است که مهاجمان از طریق درخواستهای Pull و Commit مخرب جهت تزریق درِ پشتی بر روی پروژههای منبع باز در GitHub استفاده میکنند. نمونهای از این حملات، تلاش برای آلودهسازی پروژههای Exo Labs (فعال در حوزه هوش مصنوعی و یادگیری ماشین) وyt-dlp (یک دانلودکننده صوتی و تصویری منبعباز) بوده، که نگرانیهایی در مورد امنیت پروژههای منبعباز ایجاد کرده است. همچنین در 18 پروژه منبع باز دیگر، درخواستهای pull مشابهی برای تزریق کد انجام شده است.
این حادثه، یادآور حمله زنجیره تأمین xz است که چگونه مهاجمان کدهای مخرب را وارد کتابخانه های منبع باز قانونی و پرطرفدار کردهاند. این حملات با ارسال Commitهای آلوده به این پروژهها انجام شده است. مهاجمان جهت ارسال کامیتها، یک اکانت GitHub جعلی ساختهاند که در آن از اطلاعات و عکس پروفایل شخصی شناخته شده دیگری بهرهبرداری کردهاند. کدهای مخرب ارسالشده شامل دستورات مخربی است. این آسیبپذیری میتواند منجر به خطرجدی در زیرساختهای پروژه یا حتی سرقت دادههای حساس کاربران شود.
بهتر است که کاربران، درخواستهای pull را به پروژههای خود حتی هنگامی که از فرد شناخته شدهای دریافت میکنند با دقت بیشتری مورد بررسی قرار بدهند. تاکنون این Commitها از سوی کاربرانی با نامهای evildojo666 و darkimage666 در GitHub ارسال شده که به محض شناسایی حذف شدهاند. در این حمله دنباله کاراکترهای ("105، 109، 112، 111، 114، 116،...") به قطعه کد تبدیل میشوند، که سعی میکند به evidojo (.) com متصل شود تا پیلود اصلی را دانلود کند. اگر تغییر کد، تایید شده باشد، در مخزن EXO ادغام میشود.