Una nuova ricerca ha scoperto che oltre 15.000 repository di moduli Go su GitHub sono vulnerabili a un attacco chiamato repojacking. Più di 9.000 repository sono vulnerabili a repojacking a causa di cambiamenti nel nome utente di GitHub, mentre più di 6.000 sono vulnerabili a causa della cancellazione dell’account. Collettivamente, questi repository rappresentano non meno di 800.000 versioni di moduli Go.

Cos’è il RepoJacking?

Repojacking, una combinazione delle parole “repository” e “hijacking” (dirottamento), è una tecnica di attacco che consente a un malintenzionato di sfruttare i cambiamenti del nome utente dell’account e le cancellazioni per creare un repository con lo stesso nome e il precedente nome utente per organizzare attacchi alla catena di fornitura di software open-source.

Vulnerabilità dei Moduli Go

I moduli scritti nel linguaggio di programmazione Go sono particolarmente suscettibili a repojacking, poiché, a differenza di altre soluzioni di gestione dei pacchetti come npm o PyPI, sono decentralizzati in quanto vengono pubblicati su piattaforme di controllo versione come GitHub o Bitbucket. Un attaccante può registrare il nome utente non più utilizzato, duplicare il repository del modulo e pubblicare un nuovo modulo su proxy.golang.org e go.pkg.dev.

Misure di prevenzione di GitHub

Per prevenire che gli sviluppatori scarichino pacchetti potenzialmente non sicuri, GitHub ha messo in atto una contromisura chiamata “popular repository namespace retirement” che blocca i tentativi di creare repository con i nomi di spazi dei nomi ritirati che sono stati clonati più di 100 volte prima che gli account dei proprietari venissero rinominati o cancellati. Tuttavia, questa protezione non è utile per i moduli Go, poiché sono memorizzati nella cache dal modulo mirror, eliminando la necessità di interagire o clonare un repository.

Risposta e mitigazione

Jacob Baines, chief technology officer di VulnCheck, ha affermato che mitigare tutti questi repojacking è qualcosa che Go o GitHub dovranno affrontare. Fino ad allora, è importante che gli sviluppatori Go siano consapevoli dei moduli che utilizzano e dello stato del repository da cui i moduli provengono.

La divulgazione arriva anche mentre Lasso Security ha scoperto 1.681 token API esposti su Hugging Face e GitHub, inclusi quelli associati a Google, Meta, Microsoft e VMware, che potrebbero essere potenzialmente sfruttati per organizzare attacchi alla catena di fornitura, avvelenamento dei dati di addestramento e furto di modelli.

Una vulnerabilità in una libreria open source comune nello spazio Web3 impatta la sicurezza dei contratti intelligenti pre-costruiti, influenzando diverse collezioni di NFT, inclusa Coinbase.

Come Funziona l’Attacco?

La vulnerabilità è stata scoperta da ricercatori della piattaforma di sviluppo Web3 Thirdweb, che hanno rilevato che la maggior parte dei gestori di password per Android è vulnerabile ad AutoSpill, anche senza iniezione di JavaScript. Le app Android spesso utilizzano i controlli WebView per visualizzare contenuti web, come pagine di login all’interno dell’app. I gestori di password su Android utilizzano il framework WebView della piattaforma per digitare automaticamente le credenziali dell’utente quando un’app carica la pagina di login di servizi come Apple, Facebook, Microsoft o Google. È possibile sfruttare le debolezze in questo processo per catturare le credenziali compilate automaticamente sull’app che le richiama.

Contratti Smart Impattati

I seguenti contratti smart sono impattati dalla vulnerabilità:

• AirdropERC20 (v1.0.3 e successivi), ERC721 (v1.0.4 e successivi), ERC1155 (v1.0.4 e successivi) ERC20Claimable, ERC721Claimable, ERC1155Claimable
• BurnToClaimDropERC721 (tutte le versioni)
• DropERC20, ERC721, ERC1155 (tutte le versioni)
• LoyaltyCard
• MarketplaceV3 (tutte le versioni)
• Multiwrap, Multiwrap_OSRoyaltyFilter
• OpenEditionERC721 (v1.0.0 e successivi)
• Pack e Pack_OSRoyaltyFilter
• TieredDrop (tutte le versioni)
• TokenERC20, ECRC721, ERC1155 (tutte le versioni)
• SignatureDrop, SignatureDrop_OSRoyaltyFilter
• Split (basso impatto)
• TokenStake, NFTStake, EditionStake (tutte le versioni)

Misure di Mitigazione

I proprietari di contratti smart devono adottare misure di mitigazione immediatamente per tutti i contratti pre-costruiti creati prima del 22 novembre 2023, alle 19:00 PT. Il consiglio è di bloccare i contratti vulnerabili, fare uno snapshot e poi migrarli a un nuovo contratto creato con una versione non vulnerabile della libreria. Thirdweb ha condiviso i dettagli dell’exploit con i manutentori della libreria interessata e ha affermato di non aver visto la vulnerabilità essere sfruttata in attacchi.

Risposte da Coinbase e Altri

Coinbase NFT ha annunciato che ha appreso della vulnerabilità venerdì scorso e che influisce su alcune delle sue collezioni create con Thirdweb. Mocaverse ha aggiornato i suoi utenti che i loro asset sono al sicuro e che ha “aggiornato con successo i contratti smart della collezione NFT Mocaverse, Lucky Neko e Mocaverse Relic per chiudere la rilevante vulnerabilità di sicurezza”. OpenSea ha annunciato che sta lavorando a stretto contatto con Thirdweb per mitigare i rischi coinvolti e prevede di assistere gli utenti colpiti. alcuni utenti hanno invece lamentato una mancanza di trasparenza da parte di ThirdWeb sulla scoperta da loro denunciata.

Fancy Bear, un gruppo di cyber-spionaggio legato al Cremlino, è stato osservato da Microsoft mentre sfrutta due bug precedentemente corretti per campagne di phishing su larga scala contro obiettivi ad alto valore, come agenzie governative, di difesa e aerospaziali negli Stati Uniti e in Europa.

Dettagli delle Vulnerabilità Sfruttate

Le vulnerabilità sfruttate includono CVE-2023-23397, un difetto di elevazione dei privilegi in Microsoft Outlook, e CVE-2023-38831, un difetto di esecuzione di codice remoto in WinRAR che consente l’esecuzione di codice arbitrario. Microsoft ha inizialmente corretto il bug di Outlook a marzo, avvertendo che era già stato sfruttato da malintenzionati in Russia contro settori governativi, energetici e militari in Europa, con un focus specifico sull’Ucraina.

Attività di Fancy Bear

Fancy Bear, tracciato da Microsoft come Forest Blizzard e precedentemente noto come Strontium, è stato attivo dal 2012 e ha iniziato prendendo di mira entità governative sudcoreane, think tank e individui identificati come esperti in vari campi, prima di espandere il suo raggio d’azione a Europa, Russia e Stati Uniti. Alcuni degli account Outlook compromessi appartengono a organizzazioni pubbliche e private polacche, secondo il Cyber Command polacco (DKWOC), che ha collaborato con Microsoft nelle indagini. Qui la storia completa in esclusiva su Matrice Digitale

Metodologia dell’Attacco

L’attacco di Fancy Bear inizia con un’email di phishing contenente un allegato di appuntamento, utilizzando un file TNEF mascherato come un file CSV, Excel o Word. L’estensione maligna contiene un percorso UNC che indirizza il traffico a un listener SMB ospitato su un router Ubiquiti probabilmente compromesso. In passato, Fancy Bear ha utilizzato router compromessi per ospitare i suoi nodi di comando e controllo o listener NTLM.

Campagna di Phishing utilizzando WinRAR

Utilizzando un diverso set di indirizzi email Portugalmail, gli spie russe hanno anche inviato email di phishing sfruttando una vulnerabilità di WinRAR, CVE-2023-32231. Questa vulnerabilità, che consente ai malintenzionati di eseguire malware nascosto all’interno di file legittimi, è stata corretta ad agosto, ma apparentemente non è stata patchata da abbastanza persone.

Aspettative per il Futuro

Gli esperti di sicurezza prevedono che i criminali continueranno a sfruttare entrambi i bug in sistemi non aggiornati, riflettendo il passaggio definitivo di TA422 da malware compilato per accesso persistente a reti mirate a accesso orientato alle credenziali più leggero.