میلیونها توسعهدهنده و کاربر فعال در پلتفرم اشتراکگذاری کد گیتهاب (GitHub) این روزها به واسطه حمله گستردهای که به پلتفرم محبوبشان شده، در تشویش و نگرانی هستند. محققان امنیتی در شرکت Apiiro الگویی نگرانکننده را شناسایی کردهاند که در آن عوامل مخرب، مخزنهای گیتهاب را هدف قرار داده و به طور بالقوه بیش از 100 هزار پروژه را به خطر انداختهاند. با دیجی رو همراه باشید.
حمله گسترده بدافزار به بیش از 100 هزار مخزن گیتهاب
حمله جدیدی که به گیتهاب شده، شامل تکنیکی به نام «پوشاندن مخزن مخرب» است. در این روش، مهاجمان مخزنهای مجاز را کپی کرده، کدهای مخرب را به آن تزریق کرده و دوباره آنها را به پلتفرم آپلود میکنند. این مخزنهای دستکاریشده سپس میتوانند توسط کاربران ناآگاه دانلود شوند و به طور بالقوه سیستمهای آنها را به خطر بیندازند یا آنها را به بدافزار آلوده کنند.
گزارش Apiiro به چندین عامل مختلف اشاره کرده که باعث آسیبپذیری گیتهاب در برابر چنین حملاتی میشود. سهولت استفاده از پلتفرم، APIهایی که به راحتی در دسترس هستند، و وجود تعداد زیادی مخزن پنهان، محیطی ایدهآل برای مهاجمان فراهم کرده تا برای راهاندازی «حملات گودال آبی» (Watering hole) اقدام کنند (به شکل بسیار ساده، منظور از حمله گودال آبی این است که خرابکارهای سایبری با آلوده کردن یک منبع پر بازدید، میتوانند کاربران زیادی را به صورت جمعی آلوده کنند).
در این حملات، مهاجمان مخازن محبوب و پر دانلود را هدف قرار میدهند. آنها کد مخرب را به این مخازن تزریق کرده و سپس آنها را دوباره آپلود میکنند. برای گسترش میزان نفوذ خود، مهاجمان با استفاده از روشهای خودکار، تعداد زیادی فورک (Fork) جعلی از مخزنهای به خطر افتاده ایجاد میکنند. سپس این فورکهای جعلی میتوانند از طریق رسانههای اجتماعی، انجمنهای آنلاین و کانالهای دیگر گسترش پیدا کنند و کاربران را فریب دهند تا نسخههای مخرب را دانلود کنند.
این گزارش اذعان میکند که در حال حاضر گیتهاب از این حمله مطلع شده و بیشتر مخزنهای مخرب شناساییشده را حذف کرده است. با این حال، فعالیت مهاجمان همچنان ادامه دارد و آنها دائماً در تلاش برای تزریق کدهای مخرب هستند. این مبارزه مداوم که بین دو طرف شکل گرفته، کاربران را بسیار نگران کرده است. چرا که گیتهاب در حال حاضر توانایی جلوگیری از فعالیت خرابکارها را ندارد و تنها کاری که از دستش برمیآید، حذف کدهای مخرب پس از آپلود شدن آنهاست و این امر همچنان میتواند کاربران را در معرض خطر قرار دهد.
گزارش Apiiro همچنین نشان میدهد که این حمله از ماه مه 2023 (اردیبهشت 1402) آغاز شده و به طور مداوم در حال گسترش بوده است. این فعالیت طولانی مدت نگرانیهایی را از این بابت ایجاد کرده که احتمالاً مخزنها و کاربران بیشتری در آینده به خطر خواهند افتاد. از همین رو، به توسعهدهندگان و کاربران توصیه میشود هنگام دانلود کد از گیتهاب، بهویژه از مخزنهای ناآشنا، بسیار احتیاط کنند. قبل از ادغام کد در پروژهها، بررسی منبع و صحت کد بسیار مهم است.
