Des chercheurs en sécurité ont mis en évidence plusieurs vulnérabilités et activités malveillantes sur GitHub, une plateforme clé pour le développement de logiciels modernes.
Les principaux risques, que nous allons examiner plus en détail, comprennent des flux de travail mal configurés, la persistance de données dans des dépôts supprimés et la distribution de logiciels malveillants par le biais de comptes compromis.
Défauts de configuration dangereux dans les flux d’actions GitHub
Les flux d’actions GitHub sont conçus pour rationaliser le développement de logiciels en automatisant de nombreuses tâches différentes telles que l’intégration et la livraison continues.
Malgré leur utilité, nombre de ces workflows manquent de mesures de sécurité essentielles.
L’étude de Legit Security révèle qu’un grand nombre de flux de travail n’intègrent pas les meilleures pratiques, telles que l’épinglage des dépendances et la limitation des autorisations de jetons.
L’enquête de Legit Security a permis de découvrir plusieurs problèmes de sécurité critiques :
- Interpolation d’entrées non fiables : Cette pratique permet aux attaquants d’injecter du code ou des données malveillantes dans les flux de travail, ce qui peut compromettre l’ensemble du projet.
- Utilisation d’artefacts non fiables : De nombreux flux de travail reposent sur des artefacts externes dont la sécurité n’a pas été vérifiée, ce qui ouvre la porte à des menaces potentielles.
- Exécution d’un code non fiable : L’exécution d’un code non vérifié augmente le risque d’introduire des vulnérabilités et des activités malveillantes dans le processus de développement du logiciel.
Comment des configurations erronées conduisent à des failles de sécurité
Des flux de travail mal configurés peuvent entraîner de graves violations de la sécurité.
La fuite de données est un problème majeur, car des informations sensibles peuvent être exposées par inadvertance, ce qui entraîne des violations de données et des pertes financières.
L’exécution de codes non autorisés est un autre problème qui doit être examiné attentivement ; les attaquants peuvent exploiter ces mauvaises configurations pour exécuter des codes non autorisés, ce qui compromet l’intégrité du système.
La sécurité globale des projets est alors affaiblie, ce qui les rend plus vulnérables à de nombreuses formes de cyberattaques.
Statistiques sur les actions GitHub personnalisées
Une analyse de plus de 19 000 actions GitHub personnalisées a montré que seules 900 d’entre elles (4,74 %) avaient été créées par des utilisateurs vérifiés.
La note de sécurité moyenne de l’Open Source Security Foundation (OSSF) pour ces actions est de 4,23 sur 10, ce qui montre clairement qu’il est urgent d’améliorer considérablement les pratiques de sécurité dans tous les domaines.
Menaces liées aux données persistantes dans les référentiels supprimés
Truffle Security a découvert que les données des dépôts GitHub supprimés ne sont pas entièrement supprimées de la plateforme.
Contrairement à l’idée reçue selon laquelle les données supprimées sont irrécupérables, il est toujours possible d’y accéder dans certaines conditions :
- Accès aux données supprimées : Les données sensibles, y compris le code propriétaire et les identifiants, peuvent rester accessibles même après la suppression d’un dépôt, ce qui représente un risque sérieux pour les organisations qui dépendent de GitHub pour la gestion de leur code.
- Vulnérabilité due aux fourches : Le problème survient lorsqu’une fourche de dépôt peut accéder aux données d’une autre fourche.
GitHub capture des instantanés des dépôts, y compris toutes les modifications, et ces instantanés ne sont pas supprimés de la base de données des objets lorsque le dépôt est supprimé.
Les données non synchronisées restent accessibles, ce qui crée une faille de sécurité potentielle.
Le point de vue surprenant de GitHub sur les données persistantes
GitHub ne considère pas ce problème de données persistantes comme un bogue, mais plutôt comme une fonctionnalité, ce qui soulève des inquiétudes parmi les experts en sécurité qui affirment que cela expose les organisations à des risques inutiles.
GitHub conserve des instantanés des dépôts supprimés, ce qui permet de conserver par inadvertance des données sensibles susceptibles d’être exploitées par des acteurs malveillants.
Un regard plus approfondi sur le réseau de logiciels malveillants de GitHub
Les chercheurs de Checkpoint ont découvert une tendance inquiétante : environ 3 000 comptes GitHub sont activement utilisés pour distribuer des logiciels malveillants, ce qui met clairement en évidence une menace majeure (et croissante) pour la plateforme et ses utilisateurs, car les acteurs malveillants exploitent la portée et la réputation de GitHub au sein de la communauté des développeurs.
Au cœur du réseau de logiciels malveillants Stargazer Goblin
Le réseau, connu sous le nom de Stargazer Goblin, fonctionne comme une opération de distribution en tant que service (DaaS) très organisée.
Il tire parti de la portée étendue de GitHub pour cibler un public plus large, en diffusant des logiciels malveillants par le biais de diverses plateformes, notamment YouTube, X (Twitter), Instagram, Discord et Facebook.
Le réseau utilise ces plateformes supplémentaires pour accroître sa visibilité et son impact potentiel, en attirant des utilisateurs peu méfiants.
Un dangereux logiciel malveillant se propage via GitHub
Stargazer Goblin diffuse plusieurs types de logiciels malveillants, chacun ayant des capacités et des menaces uniques.
Les logiciels malveillants distribués comprennent Lumma Stealer, conçu pour voler des informations sensibles telles que des identifiants de connexion et des données financières, et Atlantida Stealer, qui cible des informations personnelles et d’entreprise à des fins financières.
D’autres logiciels malveillants, tels que RisePro, connu pour l’exfiltration de données, Rhadamanthys, adepte des attaques par hameçonnage, et RedLine, un logiciel malveillant polyvalent capable de voler différents types d’informations, renforcent encore la menace que représente le réseau.
Les dépôts suspects et leurs menaces cachées
Le réseau utilise des dépôts douteux contenant de nombreux éléments malveillants différents.
Ces dépôts comportent souvent des liens de téléchargement vers des sites web externes où les logiciels malveillants sont téléchargés sur l’appareil de la victime.
En outre, ils utilisent des archives protégées par mot de passe pour contourner les analyses de sécurité automatisées et des modèles de stratégies d’hameçonnage pour inciter les utilisateurs à fournir des informations sensibles.
Des tactiques astucieuses pour éviter les suspensions de GitHub
Pour éviter d’être détecté et minimiser le risque de suspension de compte, Stargazer Goblin utilise des rôles organisés au sein de son réseau.
Chaque compte se voit attribuer un rôle spécifique, de sorte qu’aucun compte n’est essentiel au succès de l’opération.
Cette stratégie de distribution signifie que même si certains comptes sont suspendus, le réseau reste opérationnel.
Malgré les efforts de GitHub pour lutter contre cette menace, qui a supprimé plus de 1 500 comptes malveillants, plus de 200 (13 %) restent actifs, ce qui réaffirme le défi permanent que représente la sécurisation de la plateforme contre les activités malveillantes organisées.
Les conséquences inquiétantes des logiciels malveillants de GitHub
Les comptes et référentiels compromis peuvent conduire à des violations de données majeures et étendues, exposant des informations sensibles.
Les attaques par ransomware, qui consistent à crypter des données critiques et à exiger le paiement d’une rançon pour les récupérer, constituent une autre menace sérieuse.
La présence de logiciels malveillants à cet endroit peut alors entraîner plusieurs autres problèmes de sécurité, notamment des accès non autorisés et des compromissions du système.
3 stratégies d’experts pour sécuriser votre environnement GitHub
1. Protégez les flux de travail des actions GitHub
L’examen et l’audit réguliers des flux de travail sont essentiels pour identifier et rectifier avec précision les vulnérabilités potentielles.
La mise en œuvre de contrôles d’accès rigoureux à l’aide des outils de gestion des secrets de GitHub permet d’appliquer des contrôles d’accès stricts et de limiter les autorisations.
Il est indispensable de veiller à ce que la vérification et la validation des entrées soient soigneusement mises en œuvre si les entreprises veulent empêcher l’exécution de codes non autorisés et réduire le risque d’introduction de vulnérabilités.
2. Sécurisez vos données dans des référentiels supprimés
Pour atténuer les risques associés aux données persistantes, il est indispensable de supprimer ou de chiffrer toutes les informations sensibles avant de supprimer les référentiels.
Des audits réguliers des référentiels permettent de détecter et d’éliminer toute donnée sensible persistante.
L’utilisation d’outils tels que l’analyse secrète de GitHub peut également aider à identifier et à traiter avec précision les informations d’identification exposées dans les référentiels.
3. Lutte contre les menaces liées aux logiciels malveillants
Il est absolument indispensable de se méfier des dépôts et du code provenant de sources inconnues ou non fiables.
La mise à jour régulière des bibliothèques et des dépendances afin d’atténuer les vulnérabilités connues est une étape importante à mettre en œuvre de manière cohérente.
L’utilisation d’outils de sécurité avancés pour analyser et détecter les codes malveillants peut également contribuer à sécuriser les projets contre ces menaces potentielles.
Dernières réflexions et questions clés à poser
Dans quelle mesure votre entreprise est-elle prête à se défendre contre les menaces qui se cachent dans des plateformes courantes – et souvent essentielles – comme GitHub ?
Protégez-vous proactivement vos actifs précieux et respectez-vous la confiance de vos utilisateurs ?
Réfléchissez attentivement à vos pratiques actuelles et envisagez les changements stratégiques susceptibles d’améliorer votre posture de sécurité afin de protéger votre marque tout en renforçant la résilience et la fiabilité de votre présence sur le marché.
