为了上架NPM、PyPI、RubyGems等各种恶意组件引诱开发人员上当,黑客往往会使用冒充域名名称手法(Typosquatting),使用极为相似的名称假冒知名组件,但如今有研究人员发现,这样的手法也能用于攻击工作流程自动化平台。
安全企业Orca Security发现能在GitHub Actions发动相关攻击的方式,并打造概念性验证环境(PoC),他们创建14个组织,而这些组织或存储库的名称,他们刻意设置与开发者常见的字符串拼写雷同,例如:circelci、actons、docker-action、google-github-actons。
接着,他们将这些组织的存储库复制出去,一旦有人不慎输错指令的时候,就会中招,而非原本应该得到错误的回应。研究人员指出,开发人员不会发现这样的情况有异,而且攻击者还能轻易修改存储库并加入恶意程序代码。
研究人员在设置为actons的组织得到最多结果,有4个公开存储库被开发人员参照,而在2个月内,有12个公开存储库被引用。这样的数字看起来不多,但这并不包含自用存储库引用的情况,因此实际受害范围将会更为广泛。
值得留意的是,他们设置的这些假组织,在3个月后仅有其中的circelci被发现有异,而遭到GitHub停用,研究人员推测可能有人通报GitHub,站方才着手处理。
研究人员也提及开发者相当容易犯错的情况,他们开始着手验证之前,已有158个应调用actions的文件试图访问action,而这个数字在3个月后增加到近200个。
