Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for GitHub

GitHub

Peneliti membajak paket PHP Packagist populer untuk mendapatkan pekerjaan

by

Seorang peneliti membajak lebih dari selusin paket Packagist — dengan beberapa telah diinstal ratusan juta kali selama masa pakainya.

Peneliti menjangkau BleepingComputer yang menyatakan bahwa dengan membajak paket-paket ini dia berharap mendapatkan pekerjaan. Dan, dia tampaknya cukup yakin bahwa ini akan berhasil.

seorang peneliti dengan nama samaran ‘neskafe3v1’ menghubungi BleepingComputer menyatakan bahwa dia telah mengambil lebih dari empat belas paket Packagist, dengan salah satunya memiliki lebih dari 500 juta pemasangan.

Packagist adalah registry utama paket PHP yang dapat diinstal melalui Composer, alat manajemen ketergantungan. Daripada menghosting paket-paket ini, Packagist lebih berfungsi sebagai direktori metadata yang mengumpulkan paket-paket open source yang dipublikasikan ke GitHub. Paket-paket ini kemudian dapat diinstal oleh pengembang di mesin mereka dengan menjalankan perintah instal komposer.

Proses penerbitan di Packagist sedikit berbeda dengan yang ada di repo open source seperti npm atau PyPI. Seorang pengembang, sebagai lawan mengunggah binari atau rilis perangkat lunak langsung ke Packagist.org, cukup membuat akun Packagist.org, dan “mengirimkan” tautan ke repo GitHub mereka untuk paket tertentu. Perayap Packagist kemudian mengunjungi repo yang disediakan dan mengumpulkan semua data untuk ditampilkan di halaman Packagist untuk paket itu.

Ketika pengembang menjalankan Komposer dengan perintah ‘instal’ atau ‘perbarui’, instance Komposer mereka mungkin pertama-tama mencari keberadaan paket secara lokal, jika gagal, secara default akan mencari di Packagist untuk paket ini dan mengambil URL GitHub yang terdaftar untuk paket itu . Isi paket kemudian diunduh dari repo GitHub ini yang terdaftar di halaman Paket Paket.

Ini sangat kontras dengan cara kerja npm atau PyPI—yaitu, pendaftar ini menghosting dan mendistribusikan rilis perangkat lunak langsung dari server mereka.

selengkapnya : bleepingcomputer.com

GitHub.com merotasi kunci SSH pribadinya yang terbuka

by

GitHub telah merotasi kunci SSH pribadinya untuk GitHub.com setelah rahasia tersebut secara tidak sengaja dipublikasikan di repositori GitHub publik.

Layanan pengembangan perangkat lunak dan kontrol versi mengatakan, kunci RSA pribadi hanya “diekspos secara singkat”, tetapi mengambil tindakan karena “kehati-hatian yang melimpah”.

Dalam posting blog singkat yang diterbitkan hari ini, GitHub mengakui menemukan minggu ini bahwa RSA SSH private key untuk GitHub.com telah diekspos secara singkat di repositori GitHub publik.

“Kami segera bertindak untuk menahan paparan dan mulai menyelidiki untuk memahami akar penyebab dan dampaknya,” tulis Mike Hanley, Chief Security Officer dan SVP of Engineering GitHub.

“Kami sekarang telah menyelesaikan penggantian kunci, dan pengguna akan melihat perubahan menyebar selama tiga puluh menit berikutnya. Beberapa pengguna mungkin telah memperhatikan bahwa kunci baru hadir secara singkat mulai sekitar pukul 02:30 UTC selama persiapan untuk perubahan ini.”

Waktu penemuannya menarik—hanya beberapa minggu setelah GitHub meluncurkan pemindaian rahasia untuk semua repo publik.

Sidik jari kunci publik terbaru GitHub.com ditunjukkan di bawah ini. Ini dapat digunakan untuk memvalidasi bahwa koneksi SSH Anda ke server GitHub memang aman.

Seperti yang mungkin diketahui beberapa orang, hanya kunci RSA SSH GitHub.com yang terpengaruh dan diganti. Tidak diperlukan perubahan untuk pengguna ECDSA atau Ed25519.

Selengkapnya: Bleeping Computer

GitLab Kritikal Security Release: 15.8.2, 15.7.7 and 15.6.8

by

Hari ini kami merilis versi 15.8.2, 15.7.7, dan 15.6.8 untuk GitLab Community Edition (CE) dan Enterprise Edition (EE).

Versi ini berisi perbaikan keamanan penting, dan kami sangat menyarankan agar semua instalasi GitLab segera ditingkatkan ke salah satu versi ini. GitLab.com dan GitLab Dedicated sudah menjalankan versi yang ditambal.

GitLab merilis tambalan untuk kerentanan dalam rilis keamanan khusus. Ada dua jenis rilis keamanan: rilis keamanan terjadwal bulanan, dirilis seminggu setelah rilis fitur (yang diterapkan pada tanggal 22 setiap bulan), dan rilis keamanan ad-hoc untuk kerentanan kritis. Untuk informasi lebih lanjut, Anda dapat mengunjungi FAQ keamanan kami. Anda dapat melihat semua posting blog rilis reguler dan keamanan kami di sini. Selain itu, masalah yang merinci setiap kerentanan dipublikasikan di pelacak masalah kami 30 hari setelah rilis di mana mereka ditambal.

Kami berdedikasi untuk memastikan semua aspek GitLab yang diekspos ke pelanggan atau bahwa data pelanggan host disimpan dengan standar keamanan tertinggi. Sebagai bagian dari menjaga kebersihan keamanan yang baik, sangat disarankan agar semua pelanggan meningkatkan ke rilis keamanan terbaru untuk versi yang didukung. Anda dapat membaca lebih banyak praktik terbaik dalam mengamankan instance GitLab Anda di postingan blog kami.

Tindakan yang direkomendasikan
Kami sangat menganjurkan agar semua penginstalan yang menjalankan versi yang terpengaruh oleh masalah yang dijelaskan di bawah ini dimutakhirkan ke versi terbaru sesegera mungkin.

Jika tidak ada jenis penerapan khusus (omnibus, kode sumber, diagram helm, dll.) dari suatu produk yang disebutkan, ini berarti semua jenis akan terpengaruh.

selengkapnya : about.github.com

Panduan Pemulihan Mesin Virtual Menggunakan ESXiArgs-Recover

by

ESXiArgs-Recover merupakan alat untuk memungkinkan organisasi mencoba memulihkan mesin virtual yang terkena serangan ransomware ESXiArgs.

Beberapa organisasi telah melaporkan keberhasilan pemulihan file tanpa membayar uang tebusan. Mengetahui hal tersebut, CISA menyusun alat berdasarkan sumber daya yang tersedia untuk umum, termasuk tutorial oleh Enes Sonmez dan Ahmet Aykac.

ESXiArgs-Recover bekerja dengan merekonstruksi metadata mesin virtual dari disk virtual yang tidak dienkripsi oleh malware.

Berikut Panduan Pemulihan Mesin Virtual ESXiArgs Ransomware CISA.

Peringatan
Skrip ESXiArgs CISA didasarkan pada temuan yang diterbitkan oleh peneliti pihak ketiga. Setiap organisasi harus berhati-hati jika menggunakan skrip pemulihan ESXiArgs CISA.

CISA tidak mendukung produk atau layanan komersial apa pun, termasuk subjek analisis apa pun dan tidak bertanggung jawab atas kerusakan yang disebabkan oleh skrip ini.

Langkah Pemulihan Mesin Virtual
1. Unduh skrip ESXiArgs dan simpan sebagai “/tmp/recover.sh”
2. Beri izin eksekusi skrip “chmod +x /tmp/recover.sh”
3. Arahkan ke folder mesin virtual yang ingin di decrypt
4. Jalankan “ls”, lihat file, dan catat nama VMnya
5. Jalankan skrip pemulihan dengan “/tmp/recover.sh [nama vm]”. Jalankan “/tmp/recover.sh [nama] thin” jika mesin virtual berformat tipis
6. Jika berhasil, skrip decryptor akan menampilkan tanda berhasil dijalankan. Jika, mungkin mesin virtual tidak dapat dipulihkan.
7. Jika skrip berhasil, mendaftarkan ulang mesin virtual.
8. Mendaftarkan ulang mesin virtual.
9. Lakukan langkah berikut jika web ESXi tidak dapat diakses.
– “cd /usr/lib/vmware/hostd/docroot/ui/ && mv index.html ransom.html && mv index1.html index.html”
– “cd /usr/lib/vmware/hostd/docroot && mv index.html ransom.html && rm index.html & mv index1.html index.html”
– Reboot server ESXi.
10. Klik kanan pada VM dan pilih “Batalkan Pendaftaran” jika VM yang dipulihkan sudah ada.
11. Pilih “Buat / Daftarkan VM”.
12. Pilih “Daftarkan mesin virtual yang ada”.
13. Klik “Pilih satu atau lebih mesin virtual, penyimpanan data, atau direktori” untuk menavigasi ke folder VM yang di pulihkan. Pilih file vmx di folder.
14. Pilih “Selanjutnya” dan “Selesai”.

Proyek ini berada dalam domain publik di Amerika Serikat, dan hak cipta serta hak terkait dalam karya di seluruh dunia dibebaskan melalui dedikasi domain publik Universal CC0 1.0.

Selengkapnya: GitHub

GitHub: Hacker Kloning Sertifikat Penandatanganan Kode di Repositori yang Dilanggar

by

Belum jelas bagaimana aktor ancaman mengkompromikan token akses yang digunakan dalam pelanggaran tersebut.

Penyusup tak dikenal memperoleh akses tidak sah ke beberapa repositori kode GitHub dan mencuri sertifikat penandatanganan kode untuk dua aplikasi desktopnya, Desktop dan Atom.

Satu set sertifikat penandatanganan kode terenkripsi telah diekstraksi. Namun, sertifikat itu dilindungi kata sandi dan GitHub tidak memiliki bukti penggunaan jahat. GitHub melakukan tindakan pencegahan dengan mencabut sertifikat terbuka yang digunakan untuk aplikasi GitHub Desktop dan Atom.

Pencabutan ini akan menyebabkan beberapa versi aplikasi berhenti bekerja. Aplikasi tersebut adalah GitHub Desktop untuk Mac dengan versi 3.0.2 hingga 3.1.2, dan Atom pada versi 1.63.1 dan 1.63.0, sedangkan Desktop untuk Windows tidak terpengaruh.

GitHub sedang bekerja dengan Apple untuk memantau setiap file baru yang dapat dieksekusi (seperti aplikasi) yang ditandatangani dengan sertifikat terbuka.

Tanpa pencabutan, aplikasi semacam itu akan lulus pemeriksaan tanda tangan. Pencabutan memiliki efek membuat semua kode gagal dalam pemeriksaan tanda tangan, tidak peduli kapan ditandatangani.

Pelaku ancaman menggunakan token akses pribadi (PAT) yang dikompromikan untuk mengkloning repositori untuk Desktop, Atom, dan organisasi milik GitHub yang sudah tidak digunakan lagi.

GitHub mencabut PAT sehari kemudian setelah menemukan pelanggaran tersebut. Tak satu pun dari repositori yang dikloning berisi data pelanggan. Tidak ada bukti bahwa pelaku ancaman dapat mendekripsi atau menggunakan salah satu sertifikat.

Selengkapnya: arsTECHNICA

Peretas Dapat Menggunakan GitHub Codespaces untuk Menghosting dan Mengirimkan Malware

by

Para peneliti telah mendemonstrasikan bagaimana pelaku ancaman dapat menyalahgunakan fitur ‘penerusan port’ GitHub Codespaces untuk menghosting dan mendistribusikan malware dan skrip berbahaya.

GitHub Codespaces memungkinkan pengembang menerapkan platform IDE yang dihosting cloud dalam wadah virtual untuk menulis, mengedit, dan menjalankan kode langsung di dalam browser web.

Menggunakan GitHub Codespaces sebagai Server Malware
Dalam laporan terbaru Trend Micro, para peneliti mendemonstrasikan bagaimana GitHub Codespaces dapat dengan mudah dikonfigurasi sebagai server web, mendistribusikan konten berbahaya sambil berpotensi menghindari deteksi karena lalu lintas berasal dari Microsoft.

Penyerang dapat menjalankan server web Python sederhana, mengunggah skrip berbahaya atau malware ke Codespace mereka, membuka port server web di VM mereka, dan menetapkan visibilitas publik.

Pengaturan visibilitas port pada Codespaces (Trend Micro)

URL yang dihasilkan dapat digunakan untuk mengakses file yang dihosting, baik untuk kampanye phishing atau untuk menghosting executable berbahaya yang diunduh oleh malware lain.

Karena GitHub adalah ruang terpercaya, alat antivirus cenderung membunyikan alarm sehingga pelaku ancaman dapat menghindari deteksi dengan biaya minimal.

Diagram serangan penyalahgunaan ruang kode (Trend Micro)

Melanjutkan Serangan
Trend Micro juga mengeksplorasi penyalahgunaan Dev Containers di GitHub Codespaces untuk membuat operasi distribusi malware mereka lebih efisien. Penyerang dapat menggunakan skrip untuk meneruskan port, menjalankan server HTTP Python, dan mengunduh file berbahaya di dalam Codespace mereka.

Meskipun tidak ada penyalahgunaan GitHub Codespaces yang diketahui saat ini, laporan tersebut menyoroti kemungkinan yang realistis, karena pelaku ancaman umumnya lebih memilih untuk menargetkan platform bebas penggunaan yang juga dipercaya oleh produk keamanan.

Selengkapnya: BleepingComputer

Peretas dapat menggunakan GitHub Codespaces untuk menghosting dan mengirimkan malware

by

Dalam laporan baru oleh Trend Micro, para peneliti mendemonstrasikan bagaimana GitHub Codespaces dapat dengan mudah dikonfigurasi untuk bertindak sebagai server web untuk mendistribusikan konten berbahaya sambil berpotensi menghindari deteksi karena lalu lintas berasal dari Microsoft.

Saat meneruskan port di VM Codespace, fitur GitHub akan menghasilkan URL untuk mengakses aplikasi yang berjalan di port tersebut, yang dapat dikonfigurasi sebagai pribadi atau publik.

Port forward pribadi memerlukan autentikasi dalam bentuk token atau cookie untuk mengakses URL. Namun, port publik dapat diakses oleh siapa saja yang mengetahui URL tanpa memerlukan otentikasi.

Port visibility setting on Codespaces

Fitur GitHub ini memberi pengembang fleksibilitas dalam demonstrasi kode, tetapi Trend Micro mengatakan penyerang saat ini dapat dengan mudah menyalahgunakannya untuk menghosting malware di platform.

Analis mengatakan bahwa sementara HTTP digunakan secara default dalam sistem penerusan port Codespaces, pengembang dapat mengaturnya ke HTTPS, meningkatkan ilusi keamanan untuk URL.

Karena GitHub adalah ruang tepercaya, alat antivirus cenderung membunyikan alarm sehingga pelaku ancaman dapat menghindari deteksi dengan biaya minimal.

Codespaces abuse attack diagram (Trend Micro)

Melanjutkan serangan
Analis Trend Micro juga mengeksplorasi penyalahgunaan Dev Containers di GitHub Codespaces untuk membuat operasi distribusi malware mereka lebih efisien.

Sebuah “wadah dev” di GitHub Codespaces adalah wadah pra-konfigurasi yang berisi semua dependensi dan alat yang diperlukan untuk proyek tertentu. Pengembang dapat menggunakannya untuk penerapan cepat, membagikannya dengan orang lain, atau terhubung melalui VCS.

Penyerang dapat menggunakan skrip untuk meneruskan port, menjalankan server HTTP Python, dan mengunduh file berbahaya di dalam Codespace mereka.

Selanjutnya, visibilitas port disetel ke publik, yang membuat server web dengan direktori terbuka yang menyajikan file berbahaya ke target.

BleepingComputer dapat mereplikasi pembuatan server web “jahat” menggunakan Codespaces dalam waktu kurang dari 10 menit, tanpa pengalaman dengan fitur tersebut.

Menjalankan server web pada GitHub Codespaces VM

Kebijakan GitHub adalah ruang kode yang tidak aktif akan dihapus secara otomatis setelah 30 hari, sehingga penyerang dapat menggunakan URL yang sama selama sebulan penuh.

Meskipun tidak ada penyalahgunaan GitHub Codespaces yang diketahui saat ini, laporan tersebut menyoroti kemungkinan yang realistis, karena pelaku ancaman umumnya lebih memilih untuk menargetkan platform “bebas penggunaan” yang juga dipercaya oleh produk keamanan.

sumber : bleepingcomputer

GitHub Meluncurkan Pemindaian Rahasia Gratis Untuk Semua Repositori Publik

by

GitHub meluncurkan dukungan untuk pemindaian rahasia terbuka secara gratis (seperti kredensial dan token autentikasi) ke semua repositori publik pada platform hosting kodenya.

Pemindaian rahasia adalah opsi keamanan yang dapat diaktifkan oleh organisasi untuk pemindaian repositori tambahan untuk mendeteksi pemaparan yang tidak disengaja dari jenis rahasia yang diketahui.

Sebelumnya, layanan pemindaian rahasia hanya tersedia untuk organisasi yang menggunakan GitHub Enterprise Cloud dengan lisensi GitHub Advanced Security.

Sejak awal tahun ini saja, perusahaan mengatakan telah mengeluarkan lebih dari 1,7 juta peringatan tentang potensi rahasia yang terungkap di repositori publik.

Untuk mengaktifkan peringatan pemindaian rahasia untuk repositori publik gratis, Anda harus melalui langkah-langkah berikut:

  • Di github.com, navigasikan ke halaman utama repositori.
  • Dibawah nama repositori anda, klik tombol “Pengaturan repositori.
  • Di bagian “Keamanan” pada sidebar, klik “Keamanan dan analisis kode.”
  • Gulir ke bawah ke bagian bawah halaman, dan klik “Aktifkan” untuk pemindaian rahasia. Jika Anda melihat otmbol “Nonaktifkan”, artinya pemindaian rahasia sudah diaktifkan untuk repositori.

Informasi mendetail tentang cara mengaktifkan pemindaian rahasia untuk repositori Anda di situs web dokumentasi GitHub dan detail lebih lanjut tentang kemampuan pemindaian rahasia tersedia di sini.

Pada bulan April, GitHub juga mengumumkan bahwa mereka memperluas kemampuan pemindaian rahasia untuk pelanggan GitHub Advanced Security untuk secara otomatis memblokir komit yang berisi rahasia yang terbuka dan mencegah pemaparan kredensial secara tidak sengaja sebelum melakukan kode ke repo jarak jauh.

Mengaktifkan pemindaian rahasia adalah cara mudah bagi organisasi yang menggunakan GitHub untuk meningkatkan keamanan rantai pasokan dan melindungi diri dari kebocoran yang tidak disengaja.

sumber : bleeping computer