Há muito tempo, os agentes de ameaças usam o typosquatting como um meio de enganar usuários desavisados para que visitem websites maliciosos ou baixem softwares e pacotes com armadilhas.
Esses ataques geralmente envolvem o registro de domínios ou pacotes com nomes ligeiramente alterados de seus equivalentes legítimos (por exemplo, goog1e.com vs. google.com).
Adversários que visam repositórios de código aberto em todas as plataformas contam com erros de digitação dos desenvolvedores para iniciar ataques à cadeia de suprimentos de software program por meio de PyPI, npm, Maven Central, NuGet, RubyGems e Crate.
As últimas descobertas da empresa de segurança em nuvem Orca mostram que mesmo o GitHub Actions, uma plataforma de integração e entrega contínuas (CI/CD), não está imune à ameaça.
“Se os desenvolvedores cometerem um erro de digitação em sua ação do GitHub que corresponda à ação de um typosquatter, os aplicativos podem ser levados a executar código malicioso sem que o desenvolvedor perceba”, disse o pesquisador de segurança Ofir Yakobi em um relatório compartilhado com o The Hacker Information.
O ataque é possível porque qualquer um pode publicar uma GitHub Motion criando uma conta GitHub com uma conta de e-mail temporária. Dado que as ações são executadas dentro do contexto do repositório de um usuário, uma ação maliciosa pode ser explorada para adulterar o código-fonte, roubar segredos e usá-lo para entregar malware.
Tudo o que a técnica envolve é que o invasor crie organizações e repositórios com nomes que lembram ações populares ou amplamente utilizadas do GitHub.
Se um usuário cometer erros de ortografia inadvertidos ao configurar uma ação do GitHub para seu projeto e essa versão com erro de ortografia já tiver sido criada pelo adversário, o fluxo de trabalho do usuário executará a ação maliciosa em vez da pretendida.
“Think about uma ação que extraia informações confidenciais ou modifique o código para introduzir bugs sutis ou backdoors, afetando potencialmente todas as compilações e implantações futuras”, disse Yakobi.
“Na verdade, uma ação comprometida pode até mesmo aproveitar suas credenciais do GitHub para enviar alterações maliciosas para outros repositórios dentro de sua organização, ampliando os danos em vários projetos.”
Orca disse que uma busca no GitHub revelou até 198 arquivos que invocam “motion/checkout” ou “actons/checkout” em vez de “actions/checkout” (observe a ausência de “s” e “i”), colocando todos esses projetos em risco.
Essa forma de typosquatting é atraente para agentes de ameaças porque é um ataque de baixo custo e alto impacto que pode resultar em comprometimentos poderosos da cadeia de suprimentos de software program, afetando vários clientes de uma só vez.
Os usuários são aconselhados a verificar novamente as ações e seus nomes para garantir que estejam referenciando a organização correta do GitHub, a usar ações de fontes confiáveis e a verificar periodicamente seus fluxos de trabalho de CI/CD em busca de problemas de typosquatting.
“Este experimento destaca o quão fácil é para invasores explorar typosquatting no GitHub Actions e a importância da vigilância e das melhores práticas na prevenção de tais ataques”, disse Yakobi.
“O problema actual é ainda mais preocupante porque aqui estamos apenas destacando o que acontece em repositórios públicos. O impacto em repositórios privados, onde os mesmos erros de digitação podem estar levando a sérias violações de segurança, permanece desconhecido.”