Sklonowałeś niedawno program z GitHuba? I nie daj Boże go uruchomiłeś? Możesz być zmuszony do zmiany swoich haseł, najlepiej wszystkich. GitHub, największa na świeci platforma dla repozytoriów oprogramowania, został zalany złośliwym oprogramowaniem w wyniku użycia przez cyberprzestępców mechanizmu do zautomatyzowanego tworzenia nowych zainfekowanych repozytoriów.
Jak informuje Apiiro, firma zajmująca się bezpieczeństwem oprogramowania, wykryto już przeszło 100,000 zainfekowanych repozytoriów a w sumie mogą być ich miliony.
Czym jest GitHub i czym są repozytoria?
Kiedy deweloperzy tworzą oprogramowanie, zwykle korzystają z systemów zarządzania kodem źródłowym – narzędzi, które na przykład pozwalają przywrócić poprzednią wersję programu, jeżeli wprowadzone zmiany poszły w nie pożądanym kierunku. Takie systemy często przechowują zmiany lokalnie (czyli na konkretnym urządzeniu).
Jeśli deweloper chce tworzyć oprogramowanie z różnych miejsc (powiedzmy z pracy i z domu) lub jeżeli współpracuje z inną osobą, to wygodniej jest używać platformy zewnętrznej. Taką właśnie platformą jest GitHub. A zbiór plików dla takiego programu to właśnie repozytorium.
Jeśli deweloper nie chce, by jego repozytorium było powszechnie dostępne, to po prostu wykupuje w GitHubie abonament i trzyma swój program do użytku prywatnego. Jednak spora część programistów udostępnia swój kod. Jedni nie lubią płacić, inni chcą się dzielić swoją pracą, a jeszcze inni traktują GitHub jako swoje portfolio.
Jak został zainfekowany GitHub?
Jak cyberprzestępcy wykorzystują GitHub? Niektóre z tych publicznych repozytoriów są bardzo popularne – na przykład gdy mają walor edukacyjny lub automatyzują interakcję z mediami społecznościowymi. Firma Apiiro podaje jako przykłady TwitterFollowBot, WhatsappBOT, discord-boost-tool, Twitch-Follow-Bot.
Przestępcy po prostu kopiują do siebie takie repozytorium, wstrzykują złośliwy kod, a następnie tworzą swoje własne repozytorium z zainfekowanym kodem. Po czym nazywają je identycznie jak to popularne repozytorium, które wykorzystali.
Potem, już w zupełnie zautomatyzowanym procesie, tworzą na GitHubie kolejne kopie skażonego oprogramowania, tak by takich repozytoriów były tysiące. Następnie promują je na mediach społecznościowych, Discordzie itp.
Co robi zainfekowane oprogramowanie? Zbiera dane logowania i hasła z różnych aplikacji i przeglądarek internetowych. Kampania tworzenia złośliwych repozytoriów zaczęła się w połowie zeszłego roku, ale znacznie przyspieszyła w ostatnich tygodniach.
Reakcja platformy
GitHub oczywiście zareagował na nowe zagrożenie i usuwa takie repozytoria. Niestety powstało ich miliony. Jak przestrzega Apiiro, ze zwykłej arytmetyki wynika, iż choćby jeżeli tylko 1% pozostanie niewykryty, to i tak będzie to wiele tysięcy zainfekowanych repozytoriów. Poza tym, atak trwa i nowe repozytoria ze złośliwym kodem tworzone są cały czas.
Problem ten dotyka nie tylko programistów indywidualnie. GitHub jest niezwykle popularną platformą i jest spore prawdopodobieństwo, iż na wielu firmowych komputerach znajdują się pobrane z niego repozytoria albo fragmenty kodu.
Apiiro oczywiście zachęca do użycia zaprojektowanego przez tę firmę narzędzia do wykrywania złośliwego oprogramowania. Oczywiście – płatnego. Dla programisty-amatora lub małej firmy to może nie być akceptowalna opcja. jeżeli więc kopiujecie czyjeś oprogramowanie, upewnijcie się, iż faktycznie używacie repozytorium ich twórcy. I nie polegajcie na linkach z mediów społecznościowych itp.
A jeżeli korzystałeś z niedawno ściągniętego repozytorium z nie do końca pewnego źródła? Po pierwsze trzeba zgłosić to pracodawcy, jeżeli jest ryzyko, iż może go to dotyczyć. No i cóż… pewnie czas najwyższy pozmieniać wszystkie hasła. Zanim zrobią to za ciebie przestępcy.
Czy może to być zagrożenie dla firm? Według najnowszego raportu KPMG 19% polskich firm w ogóle nie zabezpiecza procesów tworzenia oprogramowania. jeżeli więc ich programiści wykorzystywaliby fragmenty kodu z GitHuba, to zagrożenie jest całkiem realne.
Dwa dni temu sieć sklepów detalicznych Pepco poinformowała, iż w wyniku ataku phishingowego poniosła straty w wysokości ponad 15 mln euro. Często najsłabszym ogniwem w cyberbezpieczeństwie firmy są jej pracownicy.
Dlatego też na cyberbezpieczeństwie i specjalistach od niego nie należy oszczędzać. Zapewnienie cyberpezpieczeństwa firmie to trudne zadanie. Zwłaszcza, iż hakerzy często zarabiają więcej od speców od zapobiegania cyberprzestępstwom.
Źródło zdjęcia: Markus Winkler/Unsplash