Comment introduire discrètement du code malveillant dans des dépôts GitHub ? En se faisant passer pour Dependabot.
Checkmark a récemment relaté une attaque qui a impliqué cette technique. Repérée en juillet, elle a touché principalement des comptes indonésiens.
Les attaquants disposaient des PAT (jetons d’accès personnels) des victimes. Comment les ont-ils récupérés ? Ce n’est pas clair. Toujours est-il que cela leur a permis de pousser, par centaines, des commits ressemblant aux contributions automatisées de Dependabot.
Le code ainsi injecté réalisait deux actions malveillantes. D’une part, créer une action GitHub qui exfiltrait secrets et variables vers un serveur. De l’autre, repérer les fichiers JavaScript du dépôt et y ajouter une ligne. À l’exécution dans un navigateur était alors téléchargé un script destiné à intercepter toute saisie dans un formulaire.
À consulter en complément :
GitHub : « shift left » aussi sur l’analyse des dépendances
Dans le sillage de GitHub, PyPi impose le MFA
Les principaux risques pour la sécurité des API
Faille critique dans WebP : une surface d’attaque étendue
Illustration © wavemovies – Adobe Stock
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…
Sous la bannière SpreadSheetLLM, Microsoft propose un framework destiné à optimiser le traitement des feuilles…
Selon le magazine Wired, AT&T aurait payé près de 400 000 $ à un pirate…
Confronté à un bannissement généralisé, Kaspersky va se retirer progressivement du marché américain, à partir…
Voilà X officiellement accusé d'infractions au DSA. La Commission européenne ne valide pas le système…