De acordo com os pesquisadores de segurança de TI da Checkmarx, essa técnica de ataque permite que os agentes de ameaças enganem os desenvolvedores a usar código malicioso. No sistema de controle de versão do Gut, os commits são elementos vitais, pois registram todas as alterações feitas nos documentos, a linha do tempo da alteração e quem fez a alteração.
Além disso, cada commit possui um hash ou ID exclusivo. Os desenvolvedores devem permanecer cautelosos, pois os agentes de ameaças podem falsificar alguns dados dos repositórios do GitHub para melhorar seu histórico e torná-los atraentes.
Como o Commit Metadata Deceive Developers?
Os pesquisadores identificaram que um agente de ameaça pode adulterar metadados de confirmação para fazer com que um repositório pareça mais antigo do que é. Ou então, eles podem enganar os desenvolvedores promovendo os repositórios como confiáveis, já que contribuidores respeitáveis os mantêm. Também é possível falsificar a identidade do committer e atribuir o commit a uma conta GitHub genuína.
Para sua informação, com software de código aberto, os desenvolvedores podem criar aplicativos mais rapidamente e até mesmo ignorar a auditoria de código de terceiros se eles tiverem certeza de que a fonte do software é confiável. Eles podem escolher repositórios do GitHub mantidos ativamente ou seus contribuidores são confiáveis.
Os pesquisadores da Checkmarx explicaram em sua postagem no blog que os agentes de ameaças podem manipular os timestamps dos commits, que estão listados no GitHub. Os commits falsos também podem ser gerados automaticamente e adicionados ao gráfico de atividade do GitHub do usuário, permitindo que o invasor faça com que pareça ativo na plataforma por um longo tempo. O gráfico de atividade exibe a atividade em repositórios privados e públicos, tornando impossível desacreditar os commits falsos.
“Essa técnica de engano também pode ser difícil de detectar.”
Táticas de Ataque Explicado
Os agentes de ameaças recuperarão o ID de e-mail da conta de destino, que normalmente fica oculto se o operador tiver ativado esse recurso. Usando comandos específicos, o usuário mal-intencionado pode substituir o email e o nome de usuário originais pela versão falsificada no Git CLI para melhorar a reputação do repositório.
Vale ressaltar que o usuário personificado não receberá nenhuma notificação de que sua identidade é usada para fins nefastos. Para apresentar o projeto como confiável, os agentes de ameaças podem usar essa técnica várias vezes, incluir contribuidores de renome na seção de contribuidores do repositório e fazer com que o projeto pareça altamente legítimo.
