GitHub Vulnerability Exposes 4,000+ to RepoJacking Attack

Image de PixaBay

GitHub, la plateforme d’hébergement de code largement utilisée, a révélé que plus de 4 000 paquets de code sont vulnérables aux attaques de type RepoJacking. Cette faille, découverte par les chercheurs de Checkmarx, a suscité des inquiétudes au sein de la communauté open source et a incité GitHub à agir rapidement. Voir aussi: Ziggo Group nomme ses dirigeants avant l'introduction en Bourse à Amsterdam en 2027.

Explication de l’attaque RepoJacking Voir aussi: Association ECHOES.

Le RepoJacking, abréviation de détournement de dépôt (repository hijacking), est une technique utilisée par les acteurs malveillants pour prendre le contrôle d’un dépôt. Cette méthode d’attaque consiste à exploiter une condition de concurrence entre les processus de création de dépôt et de changement de nom d’utilisateur de GitHub. En résumé, les attaquants réclament l’ancien nom d’utilisateur d’un dépôt après que le créateur légitime a changé de nom. Ils publient ensuite un dépôt malveillant portant le même nom, incitant les utilisateurs à télécharger du contenu malveillant. Voir aussi: Département IT - Athlok.

Les conséquences de cette vulnérabilité sont considérables. Elle affecte plus de 4 000 paquets de code dans des langages de programmation comme Go, PHP et Swift, ainsi que les actions GitHub. Nombre de ces paquets ont gagné en popularité, avec plus de 1 000 étoiles. Nous n’avons pas encore mesuré l’impact potentiel sur des millions d’utilisateurs et diverses applications. Voir aussi: Alejandro Estua.

Réponse de GitHub Voir aussi: Alejandro Manzo.

Checkmarx a divulgué de manière responsable cette vulnérabilité à GitHub le 1er mars 2023, ce qui a poussé la plateforme à agir. GitHub a introduit le mécanisme de « mise en retraite des espaces de noms populaires » pour empêcher le RepoJacking. Avec cette mesure de sécurité, les dépôts ayant plus de 100 clones au moment du changement de nom d’utilisateur sont considérés comme « retirés » et ne peuvent pas être utilisés par d’autres. La combinaison du nom d’utilisateur et du nom du dépôt est également considérée comme « retirée ». Voir aussi: Alejandro Hernandez.

Cependant, il s’est avéré que la mesure de sécurité pouvait être facilement contournée. Checkmarx a identifié plus de 4 000 paquets dans les gestionnaires de paquets qui utilisaient des noms d’utilisateur modifiés, les exposant ainsi au risque de détournement. Voir aussi: Alejandro Garza.

Fonctionnement de l’attaque Voir aussi: Alejandro Guerrero.

Checkmarx a décrit les étapes de l’attaque RepoJacking:

1. La victime possède l’espace de noms « victim_user/repo. »
2. La victime renomme « victim_user » en « renamed_user. »
3. Le dépôt « victim_user/repo » devient retiré.
4. Un attaquant avec le nom d’utilisateur « attacker_user » crée simultanément un dépôt appelé « repo » et renomme le nom d’utilisateur « attacker_user » en « victim_user. »

Cela est réalisé via une requête API pour la création du dépôt et une interception de la requête de changement de nom d’utilisateur.

Vulnérabilités persistantes

Cette découverte met en évidence les risques continus associés au mécanisme de « mise en retraite des espaces de noms populaires » de GitHub. De nombreux utilisateurs de GitHub, y compris ceux qui contrôlent des dépôts et des paquets populaires, choisissent d’utiliser la fonctionnalité de « changement de nom d’utilisateur » proposée par GitHub. Cela fait du contournement de la « mise en retraite des espaces de noms populaires » une cible attrayante pour les attaquants de la chaîne d’approvisionnement.

GitHub prend des mesures décisives

GitHub a résolu le problème à la date du 1er septembre 2023, après une divulgation responsable par Checkmarx. Compte tenu de cette vulnérabilité, il est conseillé aux utilisateurs d’éviter d’utiliser des espaces de noms retirés afin de réduire la surface d’attaque. De plus, des audits de code approfondis sont recommandés pour s’assurer qu’il n’existe pas de dépendances qui pourraient mener au détournement de dépôts.

La vulnérabilité de GitHub découverte par Checkmarx montre les menaces persistantes qui pèsent sur les projets open source. Les utilisateurs doivent rester vigilants car les méthodes d’attaque continuent d’évoluer.