La principale piattaforma per sviluppatori GitHub ha subito un attacco malware diffuso e ha riportato 35.000 “code hits” in una giornata che ha visto migliaia di portafogli basati su Solana prosciugati per milioni di dollari.
L’attacco diffuso è stato evidenziato dallo sviluppatore di GitHub Stephen Lucy, che ha segnalato per primo l’incidente mercoledì. Lo sviluppatore si è imbattuto nel problema mentre esaminava un progetto trovato su Google.
Finora sono stati colpiti dall’attacco diversi progetti, da crypto, Golang, Python, JavaScript, Bash, Docker e Kubernetes. L’attacco malware è mirato alle immagini Docker, ai documenti di installazione e allo script NPM, che è un modo conveniente per raggruppare i comuni comandi di shell per un progetto. Per ingannare gli sviluppatori e accedere ai dati critici, l’aggressore crea innanzitutto un falso repository (un repository contiene tutti i file del progetto e la cronologia delle revisioni di ciascun file) e invia cloni di progetti legittimi a GitHub. Ad esempio, le due istantanee seguenti mostrano il progetto legittimo di crypto miner e il suo clone.
Molti di questi repository clonati sono stati inviati come “richieste di pull“, che consentono agli sviluppatori di comunicare agli altri le modifiche apportate a un ramo di un repository su GitHub.
Una volta che lo sviluppatore cade vittima dell’attacco malware, l’intera variabile di ambiente (ENV) dello script, dell’applicazione o del laptop (applicazioni Electron) viene inviata al server dell’aggressore. L’ENV include chiavi di sicurezza, chiavi di accesso ad Amazon Web Services, chiavi crittografiche e molto altro.
Lo sviluppatore ha segnalato il problema a GitHub e ha consigliato agli sviluppatori di firmare con GPG le revisioni apportate al repository. Le chiavi GPG aggiungono un ulteriore livello di sicurezza agli account GitHub e ai progetti software, fornendo un modo per verificare che tutte le revisioni provengano da una fonte affidabile.