Aanvallers vermommen malafide code als GitHub Dependabot-commits
Aanvallers vallen GitHub-accounts aan. Zij verspreiden malafide code, die vermomd is als Dependabot-commits. Op deze manier proberen de aanvallen authenticatiegeheimen en wachtwoorden van ontwikkelaars in handen te krijgen.
Dependabot is een functionaliteit van GitHub die ontwikkelaars helpt afhankelijkheden in hun software in het oog te houden. Het gaat om een geautomatiseerde tool, die projecten op GitHub scant op kwetsbare afhankelijkheden. Het geeft vervolgens automatisch pull requests af om de geüpdatet versie van deze afhankelijkheden te installeren.
Malafide code in projecten injecteren
Checkmarx meldt echter dat aanvallers valse Dependabot-commits indienen bij GitHub. Deze dienen aanvallers in met behulp van gestolen GitHub-toegangstokens. Zo proberen de aanvallers malafide code in GitHub-projecten te injecteren. Het is onduidelijk hoe de aanvallers de toegangstokens in handen hebben gekregen.
De aanvalscampagne wordt sinds juli 2023 uitgevoerd. Onderzoekers troffen toen ongebruikelijke commits aan in honderden publieke en private repositories op GitHub. Deze leken op het eerste oog gerelateerd te zijn aan Dependabot. In de praktijk gaat het echter om malafide code, die twee acties probeert uit te voeren:
- Het extraheren van secrets van het getroffen GitHub-project en doorsturen hiervan naar de command & control-server van de aanvallers.
- Het aanpassen van JavaScript-bestanden in de getroffen repository, met als doel malware toe te voegen die wachtwoorden steelt uit webformulieren en deze naar de command & control-servefr sturen.
Meer informatie is hier beschikbaar.
Meer over Security
Over Wouter Hoeffnagel
