Cosa è successo?

• Nel luglio 2023, i nostri scanner hanno rilevato commit non tipici in centinaia di repository GitHub, che sembravano essere stati apportati da Dependabot e contenevano codice dannoso.
• Questi messaggi di commit sono stati creati dagli attori delle minacce per apparire come un contributo automatico di Dependabot nella cronologia dei commit, nel tentativo di mascherare l’attività dannosa.
• Dopo aver contattato e parlato con alcune delle vittime compromesse, possiamo confermare che il token di accesso personale a GitHub delle vittime è stato rubato e utilizzato dagli aggressori per apportare i contributi di codice dannoso.
• *Il codice dannoso esfiltra i segreti definiti del progetto GitHub in un server C2 dannoso e modifica tutti i file javascript esistenti nel progetto attaccato con un codice malware ruba-password in formato web che colpisce qualsiasi utente finale che invia la propria password in un modulo web."
• L’attacco ha colpito anche i repository privati delle organizzazioni GitHub, a cui hanno avuto accesso anche alcuni token GitHub delle vittime.
• Non è chiaro come siano stati rubati i token di accesso personali delle vittime, forse a causa di un pacchetto open-source dannoso installato sul loro PC.
• In questo blog approfondiremo il payload dannoso e il modo in cui l’utilizzo dei token di accesso personali di GitHub non è attualmente rilevabile dalla maggior parte degli utenti di GitHub.