Новое исследование показало, что более 15 000 репозиториев модулей Go на GitHub уязвимы для атаки, называемой реподжекинг.
«Более 9000 репозиториев программного обеспечения уязвимы для атак повторного взлома из-за изменения имени пользователя GitHub», — говорится в отчете, опубликованном Джейкобом Бейнсом, техническим директором VulnCheck. «Более 6000 репозиториев уязвимы для повторного взлома из-за удаления учетной записи.
В общей сложности эти репозитории программного обеспечения содержат не менее 800 000 версий модулей Go.
Реподжекинг Комбинация «репозитория» и «взлома». Это метод атаки, который позволяет злоумышленникам использовать изменение и удаление имени пользователя учетной записи для создания нового с тем же именем и уже существующего хранилища имен пользователей для запуска открытого исходного кода. атаки на цепочку поставок программного обеспечения.
Ранее в июне этого года компания Aqua, занимающаяся облачной безопасностью, сообщила, что миллионы репозиториев программного обеспечения на GitHub, вероятно, уязвимы для этой угрозы, и призвала организации, меняющие имена, гарантировать, что у них все еще есть предыдущее имя в качестве заполнителя, чтобы предотвратить такое злоупотребление.
Модули, написанные на языке программирования Go, особенно уязвимы для повторного взлома, поскольку, в отличие от других решений для менеджеров пакетов, таких как npm или PyPI, эти модули децентрализованы, поскольку они публикуются на платформах контроля версий, таких как GitHub или Bitbucket.
«Любой может указать мне на зеркала модулей Go и подробную информацию о модулях кэша pkg.go.dev», — сказал Бэйнс. «Злоумышленник может зарегистрировать новое неиспользуемое имя пользователя, скопировать репозиторий модулей и опубликовать новые модули на proxy.golang.org и go.pkg.dev.
Чтобы предотвратить загрузку разработчиками потенциально небезопасных пакетов, GitHub реализовал контрмеру, называемую прекращением использования пространства имен популярного репозитория, которая предотвращает создание репозиториев с использованием устаревших имен пространств имен. Эти пространства имен были клонированы более 100 раз, прежде чем учетная запись владельца была переименована или удалена.
Но VulnCheck отмечает, что эта защита бесполезна, когда речь идет о модулях Go, поскольку зеркало модулей кэширует эти модули, что позволяет избежать необходимости взаимодействия с репозиторием или его клонирования. Другими словами, могут существовать некоторые популярные модули на основе Go, которые были клонированы менее 100 раз, что привело к некоторому обходу.
«К сожалению, Go или GitHub должны взять на себя сокращение всех этих реподжекингов», — сказал Бэйнс. «Третьи стороны не могут разумно зарегистрировать 15 000 учетных записей GitHub. До тех пор разработчики Go должны понимать, какие модули они используют, и состояние репозиториев, из которых эти модули поступают.
Lasso Security заявила, что обнаружила 1681 открытый токен API на Hugging Face и GitHub, включая токены, связанные с Google, Meta, Microsoft и VMware, которые потенциально могут быть использованы для реализации цепочки поставок, подделки обучающих данных и моделирования атак с кражей.
Оригинал статьи, автор: xbear, при перепечатке укажите источник: https://cncso.com/ru/15000-go-module-repojacking-attack-on-github.html
