Il Dependabot è uno strumento di automazione utilizzato per il monitoraggio e l’aggiornamento automatico delle dipendenze dei software all’interno di progetti di sviluppo. È comunemente usato su piattaforme come GitHub per assicurare che le librerie e i componenti software utilizzati nei progetti siano aggiornati alle versioni più recenti, contribuendo così a migliorare la sicurezza e la stabilità del software. In questa settimana si è scoperta una vulnerabilità di questo bot e si stimano che circa 100 progetti open source siano stati presi di mira da questo attacco.
Come è successo?
Nell’attacco, un hacker ha imbrogliato gli utenti fingendo di essere Dependabot. Ha cambiato il nome dell’account in “dependabot[bot]” e ha usato un’immagine vuota come immagine del profilo. Questi cambiamenti superficiali hanno ingannato molte persone, portandole a pensare che i commit fossero sicuri, ma stavano solo permettendo all’hacker di accedere ai loro progetti.
Inoltre, gli analisti hanno scoperto che una parte dell’attacco coinvolgeva un processo altamente automatizzato. Gli hacker hanno rubato token e hanno installato un tipo di codice dannoso per rubare password. Questo processo comportava l’aggiunta di un nuovo tipo di file chiamato “hook.yml” che inviava segreti e informazioni da un progetto a un indirizzo web. Inoltre, hanno modificato ogni file JavaScript in un progetto aggiungendo una linea di codice complicata alla fine. Con queste chiavi di accesso personali (PAT) rubate, gli hacker hanno ottenuto il controllo sugli account e sui progetti delle persone su GitHub.
Prof. Adriani