Comment introduire discrètement du code malveillant dans des dépôts GitHub ? En se faisant passer pour Dependabot.
Checkmark a récemment relaté une attaque qui a impliqué cette technique. Repérée en juillet, elle a touché principalement des comptes indonésiens.
Les attaquants disposaient des PAT (jetons d’accès personnels) des victimes. Comment les ont-ils récupérés ? Ce n’est pas clair. Toujours est-il que cela leur a permis de pousser, par centaines, des commits ressemblant aux contributions automatisées de Dependabot.
Le code ainsi injecté réalisait deux actions malveillantes. D’une part, créer une action GitHub qui exfiltrait secrets et variables vers un serveur. De l’autre, repérer les fichiers JavaScript du dépôt et y ajouter une ligne. À l’exécution dans un navigateur était alors téléchargé un script destiné à intercepter toute saisie dans un formulaire.
À consulter en complément :
GitHub : « shift left » aussi sur l’analyse des dépendances
Dans le sillage de GitHub, PyPi impose le MFA
Les principaux risques pour la sécurité des API
Faille critique dans WebP : une surface d’attaque étendue
Illustration © wavemovies – Adobe Stock
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…