文/周峻佑 | 2024-09-09發表
為了上架NPM、PyPI、RubyGems等各種惡意套件引誘開發人員上當,駭客往往會使用冒充網域名稱手法(Typosquatting),使用極為相似的名稱假冒知名套件,但如今有研究人員發現,這樣的手法也能用於攻擊工作流程自動化平臺。
資安業者Orca Security發現能在GitHub Actions發動相關攻擊的方式,並打造概念性驗證環境(PoC),他們建立14個組織,而這些組織或儲存庫的名稱,他們刻意設置與開發者常見的字串拼寫雷同,例如:circelci、actons、docker-action、google-github-actons。
接著,他們將這些組織的儲存庫複製出去,一旦有人不慎輸錯指令的時候,就會中招,而非原本應該得到錯誤的回應。研究人員指出,開發人員不會察覺這樣的情況有異,而且攻擊者還能輕易修改儲存庫並加入惡意程式碼。
研究人員在設置為actons的組織得到最多結果,有4個公開儲存庫被開發人員參照,而在2個月內,有12個公開儲存庫被引用。這樣的數字看起來不多,但這並不包含自用儲存庫引用的情況,因此實際受害範圍將會更為廣泛。
值得留意的是,他們設置的這些假組織,在3個月後僅有其中的circelci被察覺有異,而遭到GitHub停用,研究人員推測可能有人通報GitHub,站方才著手處理。
研究人員也提及開發者相當容易犯錯的情況,他們開始著手驗證之前,已有158個應呼叫actions的檔案試圖存取action,而這個數字在3個月後增加到近200個。
精選專案.APP / 服務類
網站技術:PHP . iOS . Android/MySql
主要是處理不動產評估,包括土地建築物評估、土地資源評估、建築設備、廠房評估等。 若是民眾手上有任何的不動產物件,都可以請公會協助評估喔。
精選專案.網頁設計.RWD響應式網站 / 教育人文類
網站技術:PHP/MySql
國語日報的粉絲們,可以在網站進行報紙的訂購喔! 透過報紙獲取新知、了解國家大事。本網站提供會員在線上訂購報紙,會員登入後可以觀看購買紀錄、訂單,可以利用ㄅ幣進行結帳。當然ㄅ幣需要先完成訂單才會有喔!
網頁設計.RWD響應式網站 / 醫療衛生類
網站技術:PHP . Javascript/MySql
RWD響應式網站設計/網頁設計,網頁切版,後台程式管理
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策