文章來源：
GitHub Actions Vulnerable to Typosquatting, Exposing Developers to Hidden Malicious Code,09/06/2024.Ravie Lakshmanan

⚾️ 新聞概述

長期以來，威脅行為者（Threat Actors）利用「域名劫持」（Typosquatting）技術，誘使使用者訪問惡意網站或下載被植入惡意程式碼的軟體。最近，雲端安全公司Orca的研究顯示，即使是GitHub Actions這類CI/CD平台也難逃此威脅。

簡要說明攻擊的手法並搭配圖如下：

在這類攻擊中，攻擊者首先創建與流行的GitHub Actions名稱相似的組織和儲存庫。當開發者不慎將「actions/checkout」打錯為「actons/checkout」，且使用這些惡意的Actions時，就會導致惡意程式碼的執行。這可能引發一系列嚴重後果，例如原始碼被竄改、敏感資訊被竊取，甚至可能導致惡意軟體的廣泛傳播。由於任何人都可以透過臨時電子郵件創建GitHub帳號並發佈Actions，因此這種攻擊手法既簡單又低成本，但其潛在影響卻十分嚴重。

◼️ 文章啟示
將資安成為生活的一部分，並學習一些基本防範，才能有效降低攻擊風險。透過此篇文章查詢到到關於域名劫持攻擊的經典案例 —

• Google vs. Goggle：利用單字母差異
• Microsoft vs. Micrrosoft：利用重複字母的常見錯誤
• Facebook vs. Faceboook：多一個字母的釣魚網站
• PayPal vs. PyaPal：目標金融服務，意圖竊取支付資訊

而日常或團隊能做的建議可以有 —

• 仔細檢查輸入的網址和使用的GitHub Actions名稱
• 使用可信賴的來源，如官方儲存庫
• 使用自動化工具檢測工作流程中的潛在威脅
• 建立軟體成分分析（SCA）流程，識別和管理第三方套件的風險

◼️ 名詞學習

• 誤植域名（Typosquatting）： 也稱作URL劫持，假URL等，攻擊者註冊與合法域名或軟體套件名稱非常相似的名稱，通常是目標是鎖定用戶在輸入網址時容易犯的拼寫錯誤，例如「goog1e.com」。Typosquatting 的目的是利用用戶的快速輸入時的錯誤，進而詐騙或從事其他非法行為。

• 供應鏈攻擊（Supply Chain Attack）： 供應鏈攻擊是一種複雜的網路攻擊手法，攻擊者不直接攻擊目標系統，而是透過污染或破壞目標所相關的外部合作夥伴、服務提供商或產品來間接達成目的。在軟體開發環境中，可能會發生多種安全威脅，包括污染原始程式碼、在開發工具或第三方套件庫中植入後門，以及如本文所述，利用CI/CD平台的漏洞進行攻擊。