通过欺骗GitHub commit元数据发动供应链攻击

开源软件有助于开发人员更快地创建应用程序，不过很多开发人员认为这些软件源自可信来源而跳过评审步骤。例如，开发人员可能选择被积极维护的GitHub 仓库或者拥有声誉良好的个人作为贡献者的仓库。

研究人员指出，威胁行动者可伪造与GitHub 仓库相关联的数据提升信誉，从而更可能被应用开发人员选中。具体而言，研究人员发现攻击者可篡改提交元数据，使仓库看起来比实际存在的时间更久，或者声誉良好的贡献者参与了维护工作。

Commit 对于Git 版本控制系统而言至关重要：它们记录对文件做出的修改、修改是何时发生的以及谁做出了这些修改。每个commit 都有一个唯一的ID或哈希。

然而，研究人员指出，攻击者可以操纵和commit 相关联的时间戳，使列在GitHub 上的时间戳能够早于用户提交的创建日期以及发生更改的仓库日期。虚假commit可自动生成并被自动添加到用户的 GitHub 活动图表中，使这些虚假commit看似已经在代码托管平台上活跃了非常长的时间。

研究人员指出，“由于活动图表展示了公共库和私有库上的活动，因此不可能不信任这些虚假commit，因此这种欺骗技术也难以被检测到。”另外，研究人员发现提交人员的身份也可被欺骗，将commit 归为真实的 GitHub 账户如平台上的顶级贡献者名下。为达到这个目的，恶意软件需要检索目标账户的邮件地址（在正常情况下是隐藏的，但需要开发人员选择该特性），并使用特定命令在 Git CLI 中为受骗用户设置用户名和邮件。虽然这样做提高了 GitHub 仓库的声誉，但受骗用户永远无法知晓自己的姓名被使用。

研究人员指出，“为使项目看似可靠，攻击者可一次或多次使用该技术，并以已知的可信贡献者填充仓库的贡献者部分，从而让项目看起来是可信任的。”虽然GitHub 用户可使用 Commit 签名验证特性对commit进行加密签名，但并未标记未签名的commit。研究人员指出，用户可启用“警惕模式”，显示所有commit的验证状态，从而提升该特性的效果。

研究人员表示，“虚假的元数据可误导开发人员使用他们本不会使用的且可能引入恶意代码的代码。缺乏对提交人员身份和commit时间戳的验证不仅本身是一个问题，而且还可使恶意人员利用这一点获得用户的信任和仓库的可信度。”

https://www.darkreading.com/vulnerabilities-threats/it-s-a-race-to-secure-the-software-supply-chain-have-you-already-stumbled-

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~