GitHub продолжает оставаться блестящей мишенью для злоумышленников, поскольку он находится в центре цепочки поставок программного обеспечения и предоставляет субъектам угроз три вещи, которых они жаждут: исходный код, секреты и автоматизированные конвейеры для беспрепятственной деятельности.
Исследовательская группа Datadog Security отслеживает то, что она называет «устойчивой схемой» злоупотребления API GitHub на протяжении последних нескольких месяцев, направленной на картирование организаций и их участников. Хотя по отдельности эти запросы «ничем не примечательны», они становятся опасными, когда перемещаются между средами в течение недель и, что еще хуже, переходят к полномасштабному клонированию. Самая большая проблема заключается в том, что они маскируются под обычные шаблоны использования API.
GitHub стал золотой жилой для преступников, стремящихся взломать организации, поскольку многие циклы разработки небезопасны, — отметил Дэвид Шипли из Beauceron Security. Как правило, субъекты угроз нацелены на ключи API и облачные секреты.
«Теперь, когда все вынуждены делать больше и быстрее с помощью ИИ-агентов для кодирования, сокровищница секретов, вероятно, стала еще больше», — сказал он. «Короче говоря, чтобы позаимствовать фразу из предыдущей золотой лихорадки аналоговой эпохи: „там, в тех холмах, есть золото“».
Скотт Мисерендино, технический директор компании DataBee, занимающейся вопросами безопасности и соответствия требованиям, согласился. «Github — это самый популярный репозиторий исходного кода как для проектов с открытым исходным кодом, так и для корпоративных проектов», — сказал он. «Огромный объем проектов, а также то, что он является домом для некоторых из самых популярных и широко используемых программных продуктов, делают его мишенью».
Он отметил, что кража интеллектуальной собственности, такая как несанкционированное клонирование частных репозиториев, может быть использована для получения доступа к проприетарному программному обеспечению или обнаружения уязвимостей, которые можно использовать.
Вторая популярная атака включает поиск репозиториев, содержащих учетные данные по умолчанию для популярного программного обеспечения. Используя их, злоумышленники могут разрабатывать и тестировать атаки на учетные записи, которые присутствуют в производственных средах или установлены по умолчанию на определенных устройствах.
И, как написала старший инженер по безопасности Datadog Джули Агнес Спаркс в посте в блоге, «эта активность исходит не от одного субъекта. Скорее, это смесь пользовательских автоматизированных инструментов сканирования, оппортунистического использования утечек учетных данных и скоординированных сетей одноразовых (призрачных) учетных записей».
Простой, но эффективный способ картирования пользователей GitHub
Спаркс объяснила, что «большая часть» поверхности API GitHub доступна без аутентификации; она публична по замыслу. Запросы к API обычно возвращают стандартные ответы HTTP 200.
Это означает, что субъект угроз может создавать подробные карты организаций, их общедоступных репозиториев, их участников, тех, на кого они подписаны, их избранных репозиториев и проектов, с которыми они взаимодействуют. Этот трафик маскируется под обычное использование API и поэтому не кажется подозрительным, сказала она.
Кроме того, GitHub собирает данные о геолокации только тогда, когда пользователь взаимодействует с частными репозиториями, фиксируя, кто он и какой токен доступа использовал, а не когда он взаимодействует с внешними ресурсами. Это ограничивает атрибуцию на основе геолокации и VPN/прокси.
Обычно субъекты угроз выполняли автоматический скрапинг с использованием пользовательских или правдоподобно звучащих агентов пользователей, используя преимущества «призрачных» учетных записей GitHub — профилей, созданных от двух до пяти лет назад и оставленных неактивными.
Это привлекательный метод, поскольку, как отметила Спаркс, «учетная запись с многолетней историей выглядит более легитимной, чем та, что зарегистрирована на той же неделе, когда начинается скрапинг».
Обычно эти учетные записи используются для «всплеска» активности всего в течение одной-трех недель одновременно во многих предприятиях, после чего использование прекращается. Исследователи обнаружили более 50 призрачных учетных записей с различными агентами пользователей, сгруппированных в семейства с такими именами, как user432023, user412023 или kobalt*.
В некоторых кампаниях использовались легитимные учетные записи пользователей GitHub, которые непреднамеренно опубликовали свои токены OAuth или личные токены доступа (PAT), или чьи конечные точки были скомпрометированы или раскрыты иным образом.
Злоумышленники используют комбинацию агентов для эксфильтрации данных с такими именами, как GitHub-Company-Scraper,GitHub-Scraper-Tool/1.0. и GitHubAnalytics/1.5, разработанных для маскировки под обычный трафик анализа данных. Основная часть запросов нацелена на язык запросов с открытым исходным кодом /graphql, который «хорошо подходит» для массовых запросов по предприятиям, пользователям и репозиториям, отметила Спаркс. Обычные конечные точки REST используются для картирования организаций.
Фокус кампаний был «узким и последовательным», а озабоченность «заключается в совокупности», — сказала Спаркс. В изоляции запросы нацелены на общедоступные репозитории без аутентификации и возвращают успешные ответы. Это редко приводит к «значимому доступу» к репозиториям предприятия.
Но группа учетных записей, синхронно перемещающихся по общим учетным записям GitHub с версионированными, пользовательскими инструментами в течение нескольких недель, представляет собой более тревожное и систематическое поведение. Она привела один случай, когда десятки различных, легитимных, но скомпрометированных учетных записей пользователей GitHub отправляли API-запросы к одной организации в течение всего нескольких минут, хотя в этом случае атака провалилась, поскольку они нацелились на пути коммитов частных репозиториев.
Как предприятия могут защитить свои среды GitHub
Спаркс указала, что эти действия можно обнаруживать и отслеживать, «если вы следите за нужными полями», такими как те, которые идентифицируют агент пользователя, тип токена, номер автономной системы (ASN) или предпринятое действие.
«Агенты пользователей, активность событий и имена действующих лиц являются жизненно важными подсказками для несанкционированной активности в вашей среде», — подчеркнула Спаркс. Она предложила просматривать необычное поведение агентов пользователей в журналах аудита GitHub, особенно в отношении тех, которые распространяются на частные репозитории, где платформа также фиксирует IP-адрес, имя действующего лица и тип программного доступа.
Предприятиям также следует включить потоковую передачу журналов аудита GitHub, определить базовые показатели для агентов пользователей и проводить упреждающее выявление угроз. Самое главное, по ее словам, им следует разработать средства обнаружения, уникальные для их организации GitHub, отметив: «Важно знать, как выглядит норма в вашей среде».
Проще говоря, добавил Мисерендино, предприятия должны следовать лучшим практикам безопасности, включая включение многофакторной аутентификации (MFA) для всех учетных записей, проведение периодических проверок доступа пользователей, удаление любых неиспользуемых или ненужных учетных записей и сканирование репозиториев на наличие учетных данных, хранящихся в открытом виде, а не в хранилище секретов.
Эта статья изначально была опубликована на InfoWorld.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Taryn Plumb




