Von GitHub-Aktionen heruntergeladene Projekte können schädlichen Code enthalten

Cybersicherheitsforscher haben auf der Plattform GitHub Actions Risiken identifiziert, die es Angreifern ermöglichen könnten, einen Angriff auf die Lieferkette zu starten, indem sie schädlichen Code in Softwareprojekte einschleusen.

Die Art und Weise, wie Code von der GitHub Actions-Plattform gespeichert wird, kann es Angreifern ermöglichen, bösartigen Code in Softwareprojekte durch Workflows einzufügen, die beim Herunterladen dieser Teile keine angemessene Filterung (CI/CD – Continuous Integration und Continuous Delivery) durchführen. Forscher haben mehrere beliebte Snippets von Download-Skripten identifiziert, die von Tausenden anfälliger Repositories verwendet werden. Sie warnten vor einem großen Risiko, definiert als Artefaktvergiftung. Bei der Artefaktvergiftung können Angreifer einen Angriff auf die Lieferkette starten, indem sie eine legitime Struktur durch bösartigen Code ersetzen.

Gurcan Sen, Technischer Leiter von ESET Türkei channelasia.techZu diesem Thema äußerte er sich auch wie folgt: „Supply-Chain-Angriffe sind oft so schnell, dass Angreifer ein- und aussteigen können, bevor das Opfer überhaupt merkt, dass etwas passiert. Das Problem wächst bei der Artefaktvergiftung, bei der Angreifer legitimen Code durch ihren eigenen bösartigen Code ersetzen, da angenommen wird, dass der Code von jemand anderem überprüft wurde. Es bleibt in der gesamten Lieferkette unbemerkt, da der Code nicht überprüft wird. GitHub wird weltweit verwendet und hat eine Standardschutzstufe. Dies bedeutet jedoch nicht, dass der Code immer frei von schädlichen Inhalten ist oder dass dieses Problem zum ersten Mal auftritt. Daher müssen Workflows mit strengeren Filtern aktualisiert werden, um sicher zu bleiben. Hash-Werte können dem Benutzer helfen, Inkonsistenzen schnell zu erkennen. Auf der Plattform wachsam und wachsam zu sein, ist oft der beste Schutz. Außerdem sollten Entwickler niemals einem Code vertrauen, insbesondere keinem Code, den sie nicht geschrieben haben.“

Asım, der Anfang der 2000er Jahre dank seines Pentium 4 2,4-GHz-Computers mit Technologie in Kontakt kam, konnte bis heute überleben, indem er mit 128 MB RAM kämpfte. Unser Autor, der seit 2013 seine Erfahrungen bei Technopat Social teilt, ist jetzt mit seinen Neuigkeiten und Artikeln bei uns.


Source: Technopat by www.technopat.net.

*The article has been translated based on the content of Technopat by www.technopat.net. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!