Pelaku ancaman telah lama memanfaatkan typosquatting sebagai sarana untuk mengelabui pengguna yang tidak menaruh curiga agar mengunjungi situs web berbahaya atau mengunduh perangkat lunak dan paket jebakan.
Serangan ini biasanya melibatkan pendaftaran domain atau paket dengan nama yang sedikit diubah dari nama aslinya (misalnya, goog1e.com vs. google.com).
Musuh yang menargetkan repositori sumber terbuka di seluruh platform mengandalkan pengembang yang membuat kesalahan pengetikan untuk memulai serangan rantai pasokan perangkat lunak melalui PyPI, npm, Maven Central, NuGet, RubyGems, dan Crate.
Temuan terbaru dari firma keamanan cloud Orca menunjukkan bahwa bahkan GitHub Actions, platform integrasi berkelanjutan dan pengiriman berkelanjutan (CI/CD), tidak kebal terhadap ancaman.
“Jika pengembang membuat kesalahan ketik di GitHub Action mereka yang sama dengan tindakan typosquatter, aplikasi dapat dibuat menjalankan kode berbahaya tanpa pengembang menyadarinya,” kata peneliti keamanan Ofir Yakobi dalam sebuah laporan yang dibagikan dengan The Hacker News.
Serangan ini dimungkinkan karena siapa pun dapat menerbitkan GitHub Action dengan membuat akun GitHub dengan akun email sementara. Mengingat bahwa tindakan tersebut berjalan dalam konteks repositori pengguna, tindakan jahat dapat dimanfaatkan untuk merusak kode sumber, mencuri rahasia, dan menggunakannya untuk mengirimkan malware.
Semua teknik yang digunakan adalah penyerang membuat organisasi dan repositori dengan nama yang sangat mirip dengan GitHub Actions yang populer atau banyak digunakan.
Jika pengguna membuat kesalahan ejaan yang tidak disengaja saat menyiapkan tindakan GitHub untuk proyek mereka dan versi yang salah eja tersebut telah dibuat oleh pelaku kejahatan, maka alur kerja pengguna akan menjalankan tindakan jahat tersebut, bukan yang dimaksudkan.
“Bayangkan sebuah tindakan yang mencuri informasi sensitif atau memodifikasi kode untuk memperkenalkan bug atau backdoor halus, yang berpotensi memengaruhi semua pembangunan dan penerapan di masa mendatang,” kata Yakobi.
“Faktanya, tindakan yang disusupi bahkan dapat memanfaatkan kredensial GitHub Anda untuk mendorong perubahan berbahaya ke repositori lain dalam organisasi Anda, yang memperbesar kerusakan di berbagai proyek.”
Orca mengatakan bahwa pencarian di GitHub mengungkap sebanyak 198 file yang memanggil “action/checkout” atau “actons/checkout” alih-alih “actions/checkout” (perhatikan huruf “s” dan “i” yang hilang), sehingga membahayakan semua proyek tersebut.
Bentuk typosquatting ini menarik bagi pelaku ancaman karena merupakan serangan berbiaya rendah dan berdampak besar yang dapat mengakibatkan gangguan pada rantai pasokan perangkat lunak yang hebat, serta memengaruhi beberapa pelanggan hilir sekaligus.
Pengguna disarankan untuk memeriksa ulang tindakan dan namanya guna memastikan tindakan merujuk ke organisasi GitHub yang benar, berpegang pada tindakan dari sumber tepercaya, dan secara berkala memindai alur kerja CI/CD untuk masalah kesalahan ketik.
“Eksperimen ini menyoroti betapa mudahnya bagi penyerang untuk mengeksploitasi typosquatting di GitHub Actions dan pentingnya kewaspadaan dan praktik terbaik dalam mencegah serangan semacam itu,” kata Yakobi.
“Masalah sebenarnya bahkan lebih memprihatinkan karena di sini kita hanya menyoroti apa yang terjadi di repositori publik. Dampaknya pada repositori pribadi, di mana kesalahan ketik yang sama dapat menyebabkan pelanggaran keamanan yang serius, masih belum diketahui.”