Suivre

Il semblerait que 35000 dépôts GitHub (et pas des moindres) aient été infecté par des commits malveillants.
twitter.com/stephenlacy/status

Suite: Tiens donc, cela pourrait être une opération universitaire pour une étude.
Une étude en poussant du code malveillant qui permet l'accès à distance, ce qui est déjà en soit un crime.
Très très mal avisé.

nakedsecurity.sophos.com/2022/

@sebsauvage Coucou les projets avec gestion de dépendances ! 🖐️

#coucou

@cgx
Alors là j'ai une grosse pensée pour tout ceux dont les procédures de déploiement en prod sont à base de pull/curl directement depuis GitHub.

@sebsauvage ce sont des clones de dépot avec des infections… Et ya pas 35k dépots concernés. ça tient de la non news…

@whilelm
Pas que des clones, visiblement.
Mais ce n'est effectivement pas 35000 dépôts, mais 35000 commits malveillants.

Certains commits sont bien marqués des auteurs des projets, mais sans signature gpg.

@sebsauvage Ah je n'ai pas vu ce point. Quel genre de dépôt original serait concerné ?

@whilelm
Il n'a pas donné la liste.
Il précise que ça serait dû au fait que GitHub accepte les commits par email, mais sans vérifier la signature gpg.

@sebsauvage Non, pipeau. Il ne s'agit que de forks, peu utilisés, donc. Comme souvent en cybersécurité, le découvreur d'un problème gonfle sa découverte.

@bortzmeyer
Il semble dire que GitHub a accepté des commits par email (non signés gpg).

@sebsauvage @bortzmeyer Parce qu'on peut faire des commits par e-mail ? j'en apprend tout les jours

Ca marche par messagerie vocale ? 😅

@cgx @sebsauvage Un commit, ça n'est qu'un patch, ça s'envoie par email.

git-send-email rend juste la chose plus pratique.

@bortzmeyer @cgx @sebsauvage Que Github accepte pas du tout.

La confusion est que l’auteur d’un commit c’est une méta-donnée entièrement éditable (git commit --author=toto@example.org)

@sebsauvage Étant donné que ces commits étaient faits dans des dépôts forkés, évidemment qu'ils ont été acceptés !

1) Je forke, mettons, curl
2) Je fais un commit et je le pousse vers Github
3) Il est accepté, c'est mon fork
4) j'envoie un tweet disant que j'ai hacké curl

@bortzmeyer @sebsauvage non mieux pour le 4), c'est "j'envoie un tweet pour dire que j'ai trouvé plein de repo contaminés par du code malveillant, mais que fait github !" :troll:

@linuxine @sebsauvage Le risque est quand même réel (des gens qui utilisent un moteur de recherche pour trouver un dépôt, au lieu de l'URL) mais pas aussi élevé que le prétend le découvreur.

@bortzmeyer @sebsauvage oui effectivement, surtout que vu le nombre de repo github maintenant, c'est facile de se planter...

@linuxine @sebsauvage @bortzmeyer

Mais il fait noter qu'il est clairement (mais en tout petit) écrit sous le titre principal de la page d'un dépôt quand c'est un fork, et de quoi c'est le fork.

Il fait tout de même être assez négligent pour se faire avoir…

@bortzmeyer @linuxine @sebsauvage

Est-ce à dire que des dizaines de milliers de commits dangereux ont été poussés sur des forks faits par les "commiteurs" eux-mêmes (ou alors ils ont laissé des portes d'accès béantes — le système de gestion des droits de GitHib est passablement déplorable) ?

@sebsauvage De ce que j'ai compris ce sont pas les repos officiels mais des forks de ces derniers, avec de l'usurpation d'identité derrière.

@sebsauvage Je suis pas tout a fait d'accord avec l'article, je trouve qu'il est très important de connaître les capacités de résistances de l’infrastructure (après c'est probablement une déformation professionnelle, je bosse en maintenance de l'infra, infra béton cela dit pas informatique, ça change peut être la vision).
Par contre c'est pas normal d'introduire une vrai vulnérabilité. C'est important d'être non destructif

@derle @sebsauvage ne pensez-vous pas qu’il serait préférable que ce type d’action soit organisée "depuis l’interne, façon pentesting" sous le contrôle d’un comité restreint? Parce que là, ça peut mettre un sacré dawa et effectivement, c’est pas ceux à l’initiative de cela qui vont nettoyer après…

@beanface42 De mon expérience du béton, non je ne pense pas même si ce serait idéal. Après je suis moins famillié avec l'informatique @sebsauvage

@sebsauvage Peuh! les amateurs, j'ai pas besoin qu'on attaque mes repos pour qu'il y ait des bugs dans mon code. Je sais faire ça tout seul comme un grand, moi.

Inscrivez-vous pour prendre part à la conversation
Framapiaf

Le réseau social de l'avenir : pas de publicité, pas de surveillance institutionnelle, conception éthique et décentralisation ! Gardez le contrôle de vos données avec Mastodon !