Spoofing sur GitHub : ceci n'est pas un commit Dependabot

Des commits malveillants passant pour des contributions automatisées de l’outil Dependabot : ce fut le vecteur d’une attaque repérée dernièrement sur GitHub.

Comment introduire discrètement du code malveillant dans des dépôts GitHub ? En se faisant passer pour Dependabot.

Checkmark a récemment relaté une attaque qui a impliqué cette technique. Repérée en juillet, elle a touché principalement des comptes indonésiens.

Les attaquants disposaient des PAT (jetons d’accès personnels) des victimes. Comment les ont-ils récupérés ? Ce n’est pas clair. Toujours est-il que cela leur a permis de pousser, par centaines, des commits ressemblant aux contributions automatisées de Dependabot.

Le code ainsi injecté réalisait deux actions malveillantes. D’une part, créer une action GitHub qui exfiltrait secrets et variables vers un serveur. De l’autre, repérer les fichiers JavaScript du dépôt et y ajouter une ligne. À l’exécution dans un navigateur était alors téléchargé un script destiné à intercepter toute saisie dans un formulaire.

À consulter en complément :

GitHub : « shift left » aussi sur l’analyse des dépendances
Dans le sillage de GitHub, PyPi impose le MFA
Les principaux risques pour la sécurité des API
Faille critique dans WebP : une surface d’attaque étendue

Lire aussi : GitHub passe au crowdsourcing pour sa base de vulnérabilités