新聞名稱：數百 GitHub 儲存庫遭注入惡意程式碼
新聞網址：https://www.ithome.com.tw/news/159125

基礎知識

Git

• 定義

  • 版本控制系統

GitHub

• 定義

  • 提供 git 版本控制託管程式碼託管的平台

• 目的

  • 程式碼管理，協助開發者進行版本控制和協作

repository

• 定義

  • 儲存庫，存放程式碼的地方

• 範例

  • public 公開儲存庫

  • private 私人儲存庫

Personal Access Token, PAT

• 定義

  • 個人存取令牌，身分驗證方法

• 目的

  • 給應用程式或腳本存取 GitHub 的權限

Dependabot

• 定義

  • 自動化更新專案相依性的工具

• 行為

  • 它監控專案的函式庫或套件，發現漏洞或未更新的程式碼時，自動產生拉取請求（PR）

拉取請求（Pull Request）

• 定義

  • 允許開發者提出現有程式碼更新的請求

C2 伺服器

• 定義

  • 命令和控制伺服器，由攻擊者使用來管理和控制僵屍網路或其他感染的系統

JavaScript

• 定義

  • 常用於網頁的程式語言

權杖濫用

• 定義

  • 攻擊者取得受害者的權杖之後，就可以偽裝成這個受害者，進行不被授權的行為

事件整理

攻擊背景

• Checkmarx

  • 發現

• 大規模的 GitHub攻擊事件

• 涉及到多個公開和私人儲存庫

• 攻擊過程可能是自動化

攻擊手法

• 竊取

  • GitHub PAT

    • 個人存取令牌

• 使用

  • Dependabot

    • 相依管理工具

    • 偽裝成合法的自動化提交請求

    • 讓開發者誤認

攻擊過程

• 第一階段

  • 初始化工作區域

    • 開發者會在機器使用 PAT 設定開發環境

    • PAT 會被儲存在開發者機器上

    • PAT 不需要雙因素驗證

• 第二階段

  • 竊取憑證

    • 猜測

      • 受害者被惡意軟體套件感染

      • 惡意軟體套件將權杖上傳到 C2 伺服器

• 第三階段

  • 注入惡意程式碼

    • 將專案內機密傳到 C2

    • 修改 JS 檔案後竊取表單密碼

• 後果

  • 取得機密

建議提醒

• 使用 GitHub

  • 也需要注意程式碼來源

• 收到 Dependabot 通知

  • 要檢查內容

• 非企業用戶

  • 不能查看權杖的存取日誌

  • 難以確認權杖是否被濫用

• 使用精細個人存取權杖

  • 限制每個權杖的權限

  • 降低權杖洩漏後的損害

小試身手

攻擊者是如何掩蓋其惡意行為的？

• A) 透過模仿使用者界面

• B) 透過使用VPN

• C) 利用Dependabot偽裝

• D) 賄賂GitHub員工

• 答案

  • C) 利用Dependabot偽裝

攻擊者竊取了什麼用於GitHub身分驗證

• A) 使用者名稱和密碼

• B) 個人存取令牌（PAT）

• C) 手機號碼

• D) 電子郵件

• 答案

  • B) 個人存取令牌（PAT）

Dependabot的主要功能是什麼？

• A) 進行程式碼審查

• B) 自動更新專案相依性

• C) 提供雲端儲存功能

• D) 保護密碼

• 答案

  • B) 自動更新專案相依性

惡意程式碼是修改哪種檔案以竊取資料的

• A) Python 檔案

• B) HTML 檔案

• C) CSS 檔案

• D) JavaScript 檔案

• 答案

  • D) JavaScript 檔案

非企業用戶在哪方面受到限制

• A) 無法新增私人儲存庫

• B) 無法查看權杖的存取日誌

• C) 無法使用Dependabot

• D) 無法提交拉取請求

• 答案

  • B) 無法查看權杖的存取日誌