通过欺骗GitHub commit元数据发动供应链攻击-CSDN博客

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

Checkmarx 公司的安全研究员提醒称，一种新型的供应链攻击技术依靠受欺骗的commit 元数据，为恶意GitHub 仓库提高合法性。

开源软件有助于开发人员更快地创建应用程序，不过很多开发人员认为这些软件源自可信来源而跳过评审步骤。例如，开发人员可能选择被积极维护的GitHub 仓库或者拥有声誉良好的个人作为贡献者的仓库。

研究人员指出，威胁行动者可伪造与GitHub 仓库相关联的数据提升信誉，从而更可能被应用开发人员选中。具体而言，研究人员发现攻击者可篡改提交元数据，使仓库看起来比实际存在的时间更久，或者声誉良好的贡献者参与了维护工作。

Commit 对于Git 版本控制系统而言至关重要：它们记录对文件做出的修改、修改是何时发生的以及谁做出了这些修改。每个commit 都有一个唯一的ID或哈希。

然而，研究人员指出，攻击者可以操纵和commit 相关联的时间戳，使列在GitHub 上的时间戳能够早于用户提交的创建日期以及发生更改的仓库日期。虚假commit可自动生成并被自动添加到用户的 GitHub 活动图表中，使这些虚假commit看似已经在代码托管平台上活跃了非常长的时间。

研究人员指出，“由于活动图表展示了公共库和私有库上的活动，因此不可能不信任这些虚假commit，因此这种欺骗技术也难以被检测到。”另外，研究人员发现提交人员的身份也可被欺骗，将commit 归为真实的 GitHub 账户如平台上的顶级贡献者名下。为达到这个目的，恶意软件需要检索目标账户的邮件地址（在正常情况下是隐藏的，但需要开发人员选择该特性），并使用特定命令在 Git CLI 中为受骗用户设置用户名和邮件。虽然这样做提高了 GitHub 仓库的声誉，但受骗用户永远无法知晓自己的姓名被使用。

研究人员指出，“为使项目看似可靠，攻击者可一次或多次使用该技术，并以已知的可信贡献者填充仓库的贡献者部分，从而让项目看起来是可信任的。”虽然GitHub 用户可使用 Commit 签名验证特性对commit进行加密签名，但并未标记未签名的commit。研究人员指出，用户可启用“警惕模式”，显示所有commit的验证状态，从而提升该特性的效果。

研究人员表示，“虚假的元数据可误导开发人员使用他们本不会使用的且可能引入恶意代码的代码。缺乏对提交人员身份和commit时间戳的验证不仅本身是一个问题，而且还可使恶意人员利用这一点获得用户的信任和仓库的可信度。”

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com