EUR: 92.0029 руб -0.34 
USD: 84.2065 руб 0.01 
GBP:109.0306 руб 0.33 
CNY: 11.5225 руб -0.03 
CHF: 95.2778 руб -0.01 
UAH: 20.1959 руб -0.02 
BYN: 26.9159 руб 0.05 
CAD: 58.9021 руб 0.10 
Реклама у нас - отличный способ продвижения бренда и привлечения новых клиентов для вашей компании! 
AUD: 0.6317 $ 
JPY: 0.0067 $ 
RUB: 0.0117 $ 
Сотник проектов GitHub под атакой: хакеры взялись за язык Go - CNews
Примерно в одно и то же время GitHub подвергся двум разным атакам. Одна была нацелена на разработчиков на языке Go, другая — на весь ресурс в целом.
Сотни популярных проектов на GitHub, связанные с языком Go, были скомпрометированы вредоносным кодом, который запускал из удаленного источника скрипты на пользовательских машинах.
Злоумышленники «клонировали» репозитории, накручивали им оценки («звезды») с помощью поддельных аккаунтов, а затем внедряли вредоносный код, который загружал и запускал Bash-скрипт в системе разработчика.
Первым пострадавшим, поднявшим тревогу, стал разработчик проекта Atlas, опубликовавший сведения о произошедшем на Reddit.
Довольно быстро выяснилось, что те же поддельные аккаунты занимались «продвижением» клонов множества других репозиториев: пострадавших проектов оказалось не меньше 690.
Расчет был предельно прост: пользователи с большим доверием отнесутся к «многозвездным» проектам, а значит, в связи с этим им проще будет подсунуть вредоносы.
При обсуждении инцидента с Atlas всплыла ссылка на публикацию начала марта, в которой указывалось, что некие злоумышленники подделывают популярные пакеты Go, такие как Hypert и Layout, с целью загрузки вредоносов в системы под Linux и macOS.
В статье указывалось, что эксперты фирмы Socket, которая специализируется на безопасности программных «цепочек поставок», отыскали только семь репозиториев, которые подменяли популярные библиотеки под Go.
Вредоносные компоненты в этих репозиториях характеризовались повторяющимися именами файлов и использованием одной и той же методики обфускации.
Разработчики под Go часто устанавливают зависимости через команду go get. В результате возможным становится добавление поддельного пакета в проект. У Go отсутствует централизованный механизм валидации пакетов.
В настоящее время Microsoft, которой принадлежит GitHub, постепенно удаляет вредоносные клоны, следуя жалобам легитимных разработчиков.
«Открытый подход к совместной работе над программным кодом и, в целом, высокая популярность GitHub ожидаемо привлекает внимание разного рода злоумышленников, особенно охотников за чужим кодом», — говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. «Ситуация ухудшается, несмотря на все усилия по защите ресурсов со стороны администрации GitHub. К сожалению, данная история показывает, что у разработчиков отсутствуют механизмы по предотвращению подобных инцидентов», — заключил он.
В то же время у службы безопасности компании возникла еще одна проблема: эксперты компании StepSecurity обнаружили на прошлой неделе факт компрометации GitHub Action tj-actions/changed-files, что открывает возможности для извлечения секретных данных из закрытых репозиториев.
Actions — название внутренней службы, связанной с автоматизацией тестирования и доставки кода на продакшен. В отношении публичных репозиториев эта система обеспечивает непрерывную интеграцию. Служба tj-actions/changed-files, в частности, используется более чем 23 тысячами репозиториев.
По данным специалистов StepSecurity, злоумышленники изменили код tj-actions/changed-files, задним числом подменив тэги множества версий так, чтобы они ссылались на вредоносный коммит. Этот коммит подгружает вредоносный скрипт из стороннего источника, который осуществляет выгрузку содержимого памяти и извлекает секретные данные из процесса Runner Worker. Затем секретные данные о непрерывной доставке и интеграции кода (CI/CD) выводятся в публичных логах компиляций. При этом эти данные дважды кодируются по алгоритму base64.
Уже 15 марта эксперты StepSecurity обнаружили утечки секретных данных во множестве репозиториев, однако признаков реального вывода этой информации на сторонние ресурсы замечено не было.
Атаке был присвоен CVE-индекс CVE-2025-30066 и субкритический уровень угрозы по шкале CVSS — 8,6 балла.
Пользователям рекомендовано обновить GitHub Action до версии 46. 0. 1 и проверить логи за 14-15 марта на предмет подозрительных признаков.
Роман Георгиев
https://www.cnews.ru/news/top/2025-03-20_github_pod_atakoj_zlonamerennoeИсточник: www.cnews.ru/news/top/2025-03-20_github_pod_atakoj_zlonamerennoe
Комментарии (0)