Aanvaller leidt GitHub Desktop-gebruikers om de tuin via GitHub-commit

[Captain Kirk]

Bij een recente cyberaanval op GitHub Desktop-gebruikers is een combinatie van betaalde advertenties en een commit op de legitieme GitHub-repository ingezet om slachtoffers om de tuin te leiden. Daarbij zijn malafide URL's toegevoegd aan een README-bestand, met als doel slachtoffers malware te laten downloaden. Dit meldt Arctic Wolf in een analyse van de aanval.

Een GitHub-commit is een snapshot van de veranderingen die aan een Git-repository zijn doorgevoerd op een specifiek moment. Iedere commit krijgt daarbij een unieke ID toegekend in de vorm van een SHA of hash. De aanvallers hebben dit gebruikt om gebruikers te manipuleren. Daarbij is een commit in de legitieme repository gecreëerd, waarna de ID van deze commit in de URL van een malafide pagina is verwerkt. De URL verwees hierdoor direct door naar deze specifieke commit. Gebruikers kregen hierdoor een pagina te zien die identiek leek aan de originele repository, maar een aangepast README-bestand bevatte waar malafide URL's aan waren toegevoegd.

Door de werkwijze kunnen ook oplettende gebruikers om de tuin worden geleid, waarschuwt Arctic Wolf. Zo lijkt de naam en URL van de repository op het eerste oog correct, worden namen van echte contributors weergegeven en is de metadata van de pagina identiek aan het origineel. De malafide pagina is alleen te herkennen aan een melding aan de bovenzijde van de pagina, waaruit blijkt dat de bezoeker naar een specifieke commit kijkt in plaats van de standaard repository. Arctic Wolf meldt dat de melding echter eenvoudig aan het zicht kan worden onttrokken, bijvoorbeeld door slachtoffers direct door te sturen naar de downloadpagina. In de onderzochte aanval deden de aanvallers dit door slachtoffers via een malafide Google Ads-advertentie direct door te sturen naar deze pagina.

Wie in de truc trapt en de malafide URL's uit het README-bestand bezoekt, krijgt malware geserveerd. Arctic Wolf spreekt van unieke malware. Het gaat om een Microsoft Software Installer van 128 MB groot die de meeste security-sandboxes weet te vermijden. De payload wordt alleen ontsleuteld op systemen met een grafische kaart (GPU), en blijft op systemen die niet over een losse GPU beschikken hierdoor versleuteld. Ook veel systemen die voor het analyseren van malware worden gebruikt vallen hieronder. De aanvalstechniek wordt door Arctic Wolf 'GPUGate' genoemd.

Op basis van de werkwijze vermoedt Arctic Wolf dat de aanvallers zich specifiek richten op systemen met specifieke hardwareconfiguraties. Mogelijk richten de aanvallers zich zo op ontwikkelaars en gebruikers die zich bezig houden met cryptomining. "Wij denken dat het doel van deze campagne was om initiële toegang te verkrijgen tot organisaties, met als doel malafide activiteiten zoals de diefstal van inloggegevens, datadiefstal en inzet van ransomware", meldt Arctic Wolf.

 

bron: https://www.security.nl

[Captain Kirk]

Update: 3.325 secrets gestolen bij supply chain-aanval op GitHub

 

Bij een supply chain-aanval op GitHub zijn 3.325 secrets gestolen. Het gaat onder meer om tokens van PyPI, npm, DockerHub en GitHub, en sleutels van Cloudflare en AWS. De aanval wordt 'GhostAction' genoemd. Hiervoor waarschuwen onderzoekers van GitGuardian, die de aanval ontdekten. Zij melden op 2 september de eerste signalen te hebben gezien van de aanval op een van de getroffen GitHub-projecten: FastUUID.

De aanvaller wist via een gecompromitteerd account commits uit te voeren waarmee zij een malafide GitHub Actions-workflow bestand verspreiden. Dit bestand werd uitgevoerd bij een 'push', of kon handmatig worden uitgevoerd. Eenmaal uitgevoerd zoekt het bestand naar secrets in de GitHub Actions-omgeving van het project. Deze secrets stuurt de malware door naar een extern domein dat onder beheer staat van de aanvaller. In het geval van FastUUID is zo de PyPI-token van het project gestolen.

Nader onderzoek van GitGuardian naar de aanval wijst uit dat de aanval echter breder is en niet alleen FastUUID raakt. In totaal zijn 827 repositories van 327 GitHub-gebruikers getroffen. Naar schatting zijn daarbij zo'n 3.325 secrets gestolen.

 

bron: https://www.security.nl

[Captain Kirk]

Salesloft Drift-aanvaller had van maart tot en met juni 2025 toegang tot GitHub-account

De aanvaller die verantwoordelijk is voor de supply chain-aanval op Salesloft Drift had van maart tot en met juni 2025 toegang tot het GitHub-account van Salesloft, meldt Salesloft in een update. Dit stelde de aanvaller in staat content te downloaden uit meerdere repositories, een gastaccount toe te voegen en workflows op te zetten.

Salesloft is een sales engagement platform. Het biedt onder de naam Drift een chat applicatie aan die kan worden geïntegreerd met verschillende applicaties, waaronder de populaire CRM-oplossing Salesforce. Bij de aanval zijn tokens buitgemaakt die gebruikt zijn voor de koppeling tussen Drift en omgevingen van klanten. Zo wisten de aanvallers bij diverse partijen data buit te maken.

De aanval is door Salesloft in samenwerking met Mandiant onderzocht. Hieruit blijkt onder meer dat de aanvaller tussen maart en juni 2025 verkennende activiteiten uitvoerde in de applicatieomgevingen van Salesloft en Drift. Vervolgens wist de aanvaller door te dringen in de AWS-omgeving van Drift en maakte hier OAuth-tokens buit voor integraties tussen Drift en klantomgevingen. Deze tokens zijn vervolgens gebruikt voor het stelen van data.

Salesloft zet in de update ook uiteen welke stappen het heeft genomen in reactie op de aanval. Zo zijn de Drift-infrastructuur, -applicatie en -code geïsoleerd, is de Drift-applicatie uit de lucht gehaald en zijn getroffen inloggegevens gewijzigd. Daarnaast zijn ook inloggegevens voor de Salesloft-omgeving gewijzigd en is gezocht naar aanvullende Indicators of Compromise (IoC's), die niet zijn aangetroffen. Ook zijn aanvullende maatregelen genomen om verdere aanvallen af te slaan.

 

bron: https://www.security.nl