about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
آسیب پذیری
مطالب پربازدید
بازار
1405/02/02 - 13:10- بررسی تخصصی

بازار سیاه فیلترشکن در زمان قطع اینترنت؛ از قیمت‌های میلیونی تا موج گسترده کلاهبرداری

مقاله ای از کارشناس سایبری مهیار خدادادی پیرامون مسئله فیلتر شکن ها در زمان قطعی اینترنت بین المللی

در
1405/02/01 - 15:13- ایران

در غم از دست دادن پدر امت به سوگ نشسته ایم

در غم از دست دادن پدر امت به سوگ نشسته ایم

بزرگ‌ترین
1405/01/10 - 16:13- جنگ سایبری

بزرگ‌ترین حمله سایبری به شرکت‌های نفتی امارات

شرکت های نفتی امارات مورد حمله سایبری گروه هکری نصیر قرار گرفت

انتشار شده در تاریخ

اتهام به گیت‌هاب در بی‌توجهی به هشدارهای امنیتی

پلتفرم توسعه نرم‌افزار گیتهاب گزارش رسمی آسیب‌پذیری را که به نقص‌های طراحی در این سامانه اشاره داشت، رد کرده است.

به گزارش کارگروه امنیت سایبری خبرگزاری سایبربان، این نقص‌ها اکنون به گفته محققان در حملات گسترده کرم زنجیره تأمین «Shai-Hulud» برای آلوده‌سازی صدها بسته نرم‌افزاری و حساب توسعه‌دهندگان در سراسر جهان مورد سوءاستفاده قرار می‌گیرد.

بر اساس این گزارش، دو پرونده یادشده از سوی گروه اطلاعات تهدیدات سایبری Deep Specter Research از طریق سامانه افشای آسیب‌پذیری گیت‌هاب در بستر HackerOne ثبت شده بود، اما هر دو مورد با این استدلال که واجد شرایط دریافت پاداش نبوده و خطر امنیتی محسوب نمی‌شوند، مختومه اعلام شدند.

اگرچه این ابزار مخرب در ابتدا توسط گروه مجرمان سایبری TeamPCP توسعه یافت، اما پس از انتشار کد آن در اوایل ماه می، نسخه‌های تقلیدی متعددی توسط عوامل مختلف ایجاد شد.

در ماه‌های اخیر، این نسخه‌ها با رخدادهای امنیتی در نهادهایی از جمله کمیسیون اروپا، شرکت استخدام مبتنی بر هوش مصنوعی Mercor، بسته نرم‌افزاری LiteLLM، خود گیتهاب و همچنین Red Hat مرتبط دانسته شده‌اند.

گروه Deep Specter اعلام کرد تحقیقات این مجموعه که صرفاً بر پایه داده‌های عمومی انجام شده، نشان می‌دهد دست‌کم ۵۱۶ بسته مخرب همچنان در پنج اکوسیستم نرم‌افزاری از جمله npm، PyPI و RubyGems فعال هستند.

همچنین بیش از سه هزار مخزن کد در گیت‌هاب و بیش از ۲۰۰ حساب توسعه‌دهنده تحت تأثیر این کارزار قرار گرفته‌اند.

محققان تأکید کرده‌اند که این آمار تنها حداقل ابعاد واقعی تهدید را نشان می‌دهد.

به گفته آنان، موتور جست‌وجوی کد گیت‌هاب فایل‌هایی با حجم بالا را نمایه‌سازی نمی‌کند و به همین دلیل، فایل اصلی مورد استفاده کرم Shai-Hulud که حدود ۴.۶ مگابایت حجم دارد، از دید بسیاری از سامانه‌های پایش خودکار پنهان می‌ماند.

نخستین گزارش Deep Specter به نحوه مدیریت زمان ثبت تغییرات (Commit Timestamp) در گیت‌هاب مربوط می‌شد.

طبق این گزارش، فردی که کد را در مخزن بارگذاری می‌کند می‌تواند زمان ایجاد تغییرات را به گذشته نسبت دهد.

کرم Shai-Hulud نیز از همین قابلیت استفاده می‌کند تا کدهای مخرب تازه‌وارد را به‌صورت تغییراتی قدیمی و عادی جلوه دهد و از شناسایی توسط ابزارهایی که فعالیت‌های مشکوک اخیر را بررسی می‌کنند، بگریزد.

گیتهاب در پاسخ اعلام کرده بود زمان ثبت تغییرات بخشی از فراداده‌ای است که از سوی کاربر ارسال می‌شود و این رفتار مطابق طراحی سامانه است.

این شرکت همچنین تأکید کرده بود مشکل اصلی، سرقت یا سوءاستفاده از اعتبارنامه‌های کاربری برای ثبت تغییرات است، نه زمان درج‌شده برای آن‌ها.

گزارش دوم به نحوه نمایش هویت نویسندگان تغییرات مربوط می‌شد.

پژوهشگران هشدار داده‌اند که گیت‌هاب نام، تصویر و شناسه کاربری افراد را به گونه‌ای نمایش می‌دهد که گویی هویت آن‌ها تأیید شده است، در حالی که این اطلاعات می‌تواند توسط مهاجم به‌صورت دلخواه تعیین شود.

به گفته Deep Specter، کرم Shai-Hulud از این قابلیت برای نمایش تغییرات مخرب به نام مهندسان و توسعه‌دهندگان معتبر استفاده می‌کند؛ افرادی که در واقع هیچ نقشی در آن تغییرات نداشته‌اند.

گیتهاب در پاسخ اعلام کرده بود که امکان تعیین آزادانه مشخصات نویسنده بخشی از ماهیت سیستم کنترل نسخه گیت (Git) است و آسیب‌پذیری اختصاصی این پلتفرم محسوب نمی‌شود.

این شرکت همچنین یادآور شده بود که جعل هویت نویسندگان تغییرات در اسناد برنامه کشف باگ آن، از موارد غیرقابل پذیرش برای دریافت پاداش تعیین شده است.

این پلتفرم برای کاهش ریسک، استفاده از امضای دیجیتال مبتنی بر GPG و SSH و همچنین قابلیت Vigilant Mode را پیشنهاد کرده است.

با این حال، پژوهشگران خاطرنشان کردند توسعه‌دهندگانی که هویت آن‌ها در کارزار Shai-Hulud جعل شده بود، این قابلیت‌ها را فعال نکرده بودند.

طبق این گزارش، گیت‌هاب اطلاعات مربوط به حساب واقعی ثبت‌کننده هر تغییر را در رابط برنامه‌نویسی Events API ذخیره می‌کند؛ اطلاعاتی که قابل جعل نیستند.

با این حال، این داده‌ها در صفحه عمومی مشاهده تغییرات نمایش داده نمی‌شوند و پس از حدود ۹۰ روز نیز از دسترس عمومی خارج می‌شوند.

Deep Specter اعلام کرده است که تا ۱۶ ژوئن، تعداد یک‌هزار و ۷۲۹ مخزن موقت ایجادشده توسط این کرم برای ذخیره اطلاعات سرقتی همچنان در گیتهاب فعال بوده‌اند.

همچنین ۱۵۱ مخزن دیگر نیز همچنان برای توزیع بدافزار مورد استفاده قرار می‌گرفتند.

این تحولات در حالی رخ می‌دهد که مایکروسافت هفته گذشته بیش از ۲۰۰ آسیب‌پذیری امنیتی را در قالب به‌روزرسانی ماهانه خود برطرف کرد؛ اقدامی که بزرگ‌ترین بسته اصلاحی در تاریخ برنامه «Patch Tuesday» این شرکت محسوب می‌شود و از افزایش نقش هوش مصنوعی در کشف و مدیریت آسیب‌پذیری‌ها حکایت دارد.

مایکروسافت در ماه‌های اخیر نیز با انتقادهایی درباره سیاست‌های افشای آسیب‌پذیری مواجه بوده است.

این شرکت اخیراً ناچار شد تأکید کند قصدی برای پیگرد قانونی پژوهشگران امنیتی ندارد؛ موضوعی که پس از اعتراض گسترده جامعه امنیت سایبری مطرح شد.

برخی محققان نیز بارها مدعی شده‌اند که گزارش‌های آسیب‌پذیری آن‌ها از سوی مایکروسافت بدون توجیه کافی رد شده است.

در همین راستا، یکی دیگر از پژوهشگران امنیتی اخیراً جزئیات یک روش سرقت توکن‌های دسترسی از مخازن مایکروسافت را منتشر کرد و دلیل این اقدام را نارضایتی از نحوه رسیدگی شرکت به گزارش‌های امنیتی عنوان کرد.

گیتهاب و شرکت مادر آن، مایکروسافت، تاکنون به درخواست رسانه‌ها برای اظهار نظر درباره این ادعاها پاسخی نداده‌اند.

 

منبع:

سایبربان

موضوع:

تازه ترین ها
هک
1405/04/02 - 10:37- جنگ سایبری

هک کانال رسمی شهردار مسکو با پیام‌های حامی اوکراین

هکرها کانال رسمی شهردار مسکو را برای ارسال پیام‌های طرفدار اوکراین هک کردند.

تصویب
1405/04/02 - 10:13- هوش مصنوعي

تصویب طرح ملی هوش مصنوعی در سرزمین‌های اشغالی

رژیم صهیونیستی طرح ملی هوش مصنوعی را با هدف تبدیل شدن به قدرت برتر فناوری تصویب کرد.

واگذاری
1405/04/02 - 10:02- آسیا

واگذاری حاکمیت دیجیتال ارمنستان به آذربایجان

ارمنستان اعلام کرد که طی یک توافق‌نامه، داوطلبانه حاکمیت دیجیتال را به آذربایجان واگذار می‌کند.

مطالب مرتبط

در این بخش مطالبی که از نظر دسته بندی و تگ بندی مرتبط با محتوای جاری می باشند نمایش داده می‌شوند.