文/周峻佑 | 2024-09-09發表
為了上架NPM、PyPI、RubyGems等各種惡意套件引誘開發人員上當,駭客往往會使用冒充網域名稱手法(Typosquatting),使用極為相似的名稱假冒知名套件,但如今有研究人員發現,這樣的手法也能用於攻擊工作流程自動化平臺。
資安業者Orca Security發現能在GitHub Actions發動相關攻擊的方式,並打造概念性驗證環境(PoC),他們建立14個組織,而這些組織或儲存庫的名稱,他們刻意設置與開發者常見的字串拼寫雷同,例如:circelci、actons、docker-action、google-github-actons。
接著,他們將這些組織的儲存庫複製出去,一旦有人不慎輸錯指令的時候,就會中招,而非原本應該得到錯誤的回應。研究人員指出,開發人員不會察覺這樣的情況有異,而且攻擊者還能輕易修改儲存庫並加入惡意程式碼。
研究人員在設置為actons的組織得到最多結果,有4個公開儲存庫被開發人員參照,而在2個月內,有12個公開儲存庫被引用。這樣的數字看起來不多,但這並不包含自用儲存庫引用的情況,因此實際受害範圍將會更為廣泛。
值得留意的是,他們設置的這些假組織,在3個月後僅有其中的circelci被察覺有異,而遭到GitHub停用,研究人員推測可能有人通報GitHub,站方才著手處理。
研究人員也提及開發者相當容易犯錯的情況,他們開始著手驗證之前,已有158個應呼叫actions的檔案試圖存取action,而這個數字在3個月後增加到近200個。
Line OA / 美容保養類
網站技術:PHP . Javascript/MySql
滿意寶寶LINE OA官方帳號,各位爸爸媽媽都有加入了嗎?! 只需要動動手指就可以知道官方帳號的最新資訊、商品與兌換商品。
精選專案.網頁設計.RWD響應式網站.企業形象網站 / 電子科技類
網站技術:PHP . Javascript/MySql
均豪專精於半導體、顯示器設備設計及製造,對於在社會回饋上也是相當重視,更體現了其對ESG和SDGs概念的關注,透過官網表達均豪對ESG永續發展的立場與積極的態度。
企業形象網站.無障礙網頁 / 服務類
響應台灣無障礙的生活的理念,各地輔具中心皆有相關設備提供民眾租借使用以解決生活中的不便利。
網站把主要功能以大區塊的方式呈現,民眾可以快速尋找想要的輔具工具,點選後直接進到申請頁,簡易又明確的流程協助民眾完成租借流程。
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策