کمیته رکن چهارم – مهاجمان با بهرهگیری از آسیبپذیری موجود در GitHub توانستهاند از طریق درخواستهای Pull آلوده، کدهای مخرب را به پروژههای منبعباز تزریق کنند.
به گزارش کمیته رکن چهارم، یک آسیبپذیری در پلتفرم GitHub شناسایی شده است که به مهاجمان امکان داده با ایجاد حسابهای جعلی و ارسال درخواستهای Pull آلوده، کدهای مخربی را وارد پروژههای منبعباز کنند. این حملات، پروژههای مهمی مانند Exo Labs (فعال در حوزه هوش مصنوعی) و yt-dlp (یک دانلودکننده منبعباز) را هدف قرار داده و نگرانیهایی جدی درباره امنیت پروژههای متنباز به وجود آورده است.
روش نفوذ
مهاجمان با ساخت اکانتهای جعلی در GitHub و سوءاستفاده از اطلاعات پروفایلهای شناختهشده، درخواستهای Pull حاوی کدهای مخرب ارسال کردهاند. این کدها میتوانند دستورات مخربی اجرا کنند، دادههای حساس کاربران را سرقت کنند یا زیرساختهای پروژههای مورد هدف را با خطر جدی مواجه سازند. در یکی از موارد شناساییشده، کدهای آلوده به گونهای طراحی شده بودند که با اتصال به دامنهای خاص، پیلود اصلی را دانلود کرده و اجرا کنند.
موارد شناساییشده
تاکنون علاوه بر پروژههای یادشده، دستکم ۱۸ پروژه منبعباز دیگر هدف درخواستهای Pull آلوده قرار گرفتهاند. مهاجمان در این حملات از حسابهای جعلی با نامهایی نظیر evildojo666 و darkimage666 استفاده کردهاند. درخواستهای مخرب پس از شناسایی حذف شدهاند، اما خطر چنین حملاتی همچنان پابرجاست.
توصیههای امنیتی
کارشناسان توصیه میکنند که توسعهدهندگان پیش از تایید و ادغام درخواستهای Pull در پروژههای خود، حتی اگر از سوی افراد شناختهشده ارسال شده باشند، با دقت بیشتری آنها را بررسی کنند. همچنین بهبود رویههای امنیتی برای تشخیص رفتارهای مشکوک در پلتفرمهای میزبانی کد مانند GitHub ضروری به نظر میرسد.
این حادثه بار دیگر ضرورت نظارت دقیقتر بر پروژههای منبعباز و بررسی مداوم تغییرات پیشنهادی توسط کاربران را یادآوری میکند.
