GitHub es una forja para alojar proyectos utilizando el sistema de control de versiones
Hace poco investigadores de Aqua Security dieron a conocer información sobre un análisis que realizaron en relación con la aplicabilidad del ataque RepoJacking a los repositorios de GitHub.
La esencia del problema es que después de eliminar o cambiar el nombre de los proyectos en GitHub, los repositorios de terceros pueden contener enlaces a nombres que ya no existen, por ejemplo, en la documentación, los scripts y las instrucciones de instalación de los archivos LÉAME.
Los investigadores mencionan que un atacante puede registrar un nombre de usuario en GitHub que duplique un nombre de usuario preexistente, colocar malware en un repositorio con el nombre duplicado y esperar que alguien lo descargue usando manuales sin parches o código antiguo que descargue dependencias de enlaces antiguos.
Por ejemplo, el año pasado se obtuvo el control sobre la librería de PHP phpass de manera similar. GitHub tiene protección contra el nuevo registro de proyectos remotos, pero era posible omitirlo creando un repositorio con el mismo nombre en una cuenta arbitraria y luego cambiando el nombre de esta cuenta a la de destino. Si desea registrar un repositorio de usuario/representante donde se eliminó la cuenta de usuario, GitHub le permitirá volver a crear el usuario «usuario», pero no le permitirá crear el repositorio «representante». Puede evitar esta limitación creando el repositorio «representante» en la cuenta de otro usuario (por ejemplo, «usuario1») y luego cambiando el nombre de ese usuario a «usuario».
GitHub ahora está tratando de resistir tales manipulaciones, pero según Aqua Security, no todas las soluciones están bloqueadas y la protección solo se aplica a los proyectos más populares, que tenían más de 100 clones antes del cambio de nombre.
Al mismo tiempo, la protección no captura los proyectos que se han hecho populares después de cambiarles el nombre. Tampoco tiene en cuenta que un proyecto popular puede usar como dependencia un repositorio menos popular que fue renombrado previamente y que no está protegido (se puede atacar mediante sustitución de dependencia). Después del cambio de nombre, GitHub redirige automáticamente los enlaces antiguos al nuevo repositorio, pero esta redirección solo dura hasta que el usuario con el mismo nombre se registra, por lo que el código a menudo se olvida de corregir los enlaces al nuevo nombre.
El estudio de Aqua Security examinó una muestra de 1,25 millones de repositorios, lo que corresponde a aproximadamente el 0,4 % del número total de repositorios en GitHub. La lista se obtuvo a partir del análisis del registro de cambios de un mes aleatorio (junio de 2019). Se encontró susceptibilidad al ataque RepoJacking en 36983 repositorios (2.95%).
Los investigadores también llevaron a cabo un ataque experimental que mostró la eficiencia del método. En varios repositorios modificados, se organizó la recopilación de información sobre las direcciones IP que descargaron los artefactos colocados en el repositorio. Como resultado, se registraron descargas de datos falsificados en las redes de varias grandes empresas.
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.
Continúar leyendo...