Centomila repository infetti mettono sotto scacco GitHub, il nemico è una campagna di malicious repo confusion

8 months ago 158

Spento il giubilo per la presentazione di GitHub Copilot Enteprise – per modo di dire, visto che moltissimi utenti si stanno lamentando dei tantissimi permessi richiesti dall’applicazione, vedi questo articolo di Dev Class – in casa GitHub c’è un problema decisamente grosso con i repository che è stato descritto da Apiiro, un’azienda che si occupa di sicurezza.

L’attacco è ciò che viene definito un malicious repo confusion campaign, ossia una campagna di diffusione di repository finti. Come segnala Apiiro il problema riguarda qualcosa come centomila repository GitHub, un’enormità.

La modalità di attacco è decisamente semplice:

  1. Il repository viene clonato (esempi in questo senso sono TwitterFollowBot, WhatsappBOT, discord-boost-tool, Twitch-Follow-Bot e centinaia di altri).
  2. Il repository viene infettato con dei loader malware (astutamente non il malware in sé, ma del codice che lo carica).
  3. Il repository viene caricato su GitHub con lo stesso identico nome, ma ovviamente in un’organizzazione diversa.
  4. Il repository viene forkato qualche migliaia di volte e promosso nei vari canali per abilitarne l’immagine.

L’articolo dimostra anche cosa avviene effettivamente quando il codice malevolo viene eseguito, mediante un’illuminante gif animata:

Anche se i fork vengono rimossi abbastanza velocemente (poiché frutto di automazione e quindi facilmente identificabili) ma da quel che viene raccontato circa l’un percento sfugge e continua a far danni. Per la cronaca, contando anche i fork rimossi siamo nell’ordine del milione.

In un’altra gif animata viene data la misura effettiva dei numeri:

E sì, sono impressionanti.

L’attacco è in giro dallo scorso maggio, ma nell’ultimo periodo ha subito uno spike decisamente notevole, come mostra questo grafico, che spiega anche da dove si è partiti

Ricordate quando abbiamo parlato di PyPI e dei TRE pacchetti infetti che conteneva? Se ci eravamo preoccupati allora, figuriamoci dopo aver letto tutto questo.

Trattandosi in ogni caso di fork e di repository infetti che non risiedono nelle organizzazioni principali di GitHub, basterà avere l’accortezza di far riferimento solo alle sorgenti ufficiali.

Cioè, praticamente è impossibile finire infetti, giusto?

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

Read Entire Article