Hackers falsifican los “commit metadata” para crear repositorios falsos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de seguridad de Checkmarx advirtieron sobre una nueva táctica emergente de ataque a la cadena de suministro que involucra a los "commit metadata" falsificados para presentar repositorios maliciosos de GitHub como legítimos.

Según los investigadores de seguridad de TI de Checkmarx, esta técnica de ataque permite a los actores de amenazas engañar a los desarrolladores para que utilicen código malicioso. En el sistema de control de versiones de Gut, las confirmaciones son elementos vitales, ya que registran cada cambio realizado en los documentos, la línea de tiempo del cambio y quién realizó el cambio.

Además, cada confirmación cuenta con un hash o ID único. Los desarrolladores deben ser cautelosos ya que los actores de amenazas pueden falsificar algunos datos de los repositorios de GitHub para mejorar su historial y hacerlos atractivos.

¿Cómo puede el "Commit Metadata" engañar a los desarrolladores?

Los investigadores identificaron que un actor de amenazas podría alterar los commit metadata para hacer que un repositorio parezca más antiguo de lo que es. O bien, pueden engañar a los desarrolladores al promocionar los repositorios como confiables, ya que los mantienen contribuyentes acreditados. También es posible suplantar la identidad del autor de la confirmación y atribuir la confirmación a una cuenta genuina de GitHub.

Para su información, con el software de código abierto, los desarrolladores pueden crear aplicaciones más rápido e incluso omitir la auditoría de código de terceros si están seguros de que la fuente del software es confiable. Pueden elegir repositorios de GitHub mantenidos activamente o sus colaboradores son confiables.

Los investigadores de Checkmarx explicaron en su publicación de blog que los actores de amenazas podrían manipular las marcas de tiempo de los "commits", que se enumeran en GitHub. Los "commits" falsos también se pueden generar automáticamente y agregar al gráfico de actividad de GitHub del usuario, lo que permite al atacante hacer que aparezca activo en la plataforma durante mucho tiempo. El gráfico de actividad muestra la actividad en los repositorios públicos y privados, lo que hace imposible desacreditar los"commits" falsos.

Tácticas de ataque explicadas

Los actores de amenazas recuperarán la ID de correo electrónico de la cuenta de destino, que normalmente está oculta si el operador ha habilitado esta función. Usando comandos específicos, el usuario malintencionado puede reemplazar el correo electrónico y el nombre de usuario originales con la versión falsificada en la CLI de Git para mejorar la reputación del repositorio.

Vale la pena señalar que el usuario suplantado no recibirá ninguna notificación de que su identidad se utiliza con fines nefastos. Para presentar el proyecto como confiable, los actores de amenazas pueden usar esta técnica varias veces, incluir contribuyentes de renombre en la sección de contribuyentes del repositorio y hacer que el proyecto parezca altamente legítimo.

Prevención

Los metadatos falsos engañan a los desarrolladores para que usen código que de otro modo evitarían, y los actores de amenazas ganarán credibilidad. Para evitar el ataque, los investigadores de Checkmarx instaron a los desarrolladores a firmar sus compromisos (commits) y mantener siempre habilitado el modo vigilante en los usuarios para garantizar una seguridad óptima del ecosistema del código. En el modo vigilante, se muestra el estado de verificación de sus compromisos, lo cual es una característica convincente contra el ataque a la cadena de suministro.

Fuente:
Checkmarx
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Vía:
HackRead
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta