นักวิจัยด้านความปลอดภัยจาก Juniper Threat Labs ได้ทำการตรวจพบเวิร์มและบ็อตเน็ตชนิดใหม่ที่อาศัย GitHub และ Pastebin ในการสร้างโค้ดคอมโพเนนต์ที่เป็นอันตรายและมีโมดูลในการโจมตีที่แตกต่างกันอย่างน้อย 12 โมดูลและมัลแวร์ยังมีความสามารถในการแพร่กระจายในรูปแบบอัตโนมัติ โดยมัลแวร์อาจนำไปสู่การแพร่กระจายภายในเครือข่ายองค์กรหรือไปยังโฮสต์ของผู้ใช้ที่ทำการเชื่อมต่อ ซึ่งนักวิจัยได้มัลแวร์ชนิดนี้ว่า “Gitpaste-12”

มัลแวร์“Gitpaste-12” ถูกตรวจพบครั้งแรกประมาณวันที่ 15 ตุลาคม ที่ผ่านมา โดยมัลแวร์จะมีโมดูลที่ใช้ในการโจมตีซึ่งประกอบไปด้วยช่องโหว่จำนวน 11 ช่องโหว่คือ CVE-2017-14135 (Webadmin plugin for opendreambox), CVE-2020-24217 (HiSilicon video encoders), CVE-2017-5638 (Apache Struts), CVE-2020-10987 (Tenda router), CVE-2014-8361 (Realtek SDK), CVE-2020-15893 (Dlink routers), CVE-2013-5948 (Asus routers), EDB-ID: 48225 (Netlink GPON Router), EDB-ID: 40500 (AVTECH IP Camera), CVE-2019-10758 (CVE-2019-10758) และ CVE-2017-17215 (Huawei router)

นักวิจัยกล่าวว่าขึ้นตอนการโจมตีของ Gitpaste-12 จะเริ่มต้นโดยการดาวน์โหลดสคริปต์จาก Pastebin URL ซึ่งจะสั่งให้โฮสต์ที่ติดเชื้อเรียกใช้สคริปต์นี้ต่อไปทุกๆ นาที จากนี้มัลแวร์จะดาวน์โหลด Shell script หลักจาก GitHub ซึ่งก็คือ https: //raw.

แจ้งเตือนช่องโหว่ใน GNOME ใช้สร้างบัญชีใหม่ให้ได้สิทธิ์และรันคำสั่งเป็น root ได้

นักวิจัยด้านความปลอดภัยจาก GitHub "Kevin Backhouse" เป็นเผย 2 ช่องโหว่ใหม่ใน GNOME Display Manager (GDM) ซึ่งทำให้บัญชีผู้ใช้งานที่มีสิทธิ์ทั่วไปนั้นสามารถสร้างบัญชีใหม่และยกระดับสิทธิ์ขึ้นมาได้ ผลลัพธ์ของการโจมตีทำให้ผู้โจมตีสามารถรันคำสั่งด้วยสิทธิ์ root ได้ ช่องโหว่เหล่านี้ยังมีวิธีการโจมตีที่ไม่ยากด้วย

ทั้งสองช่องโหว่นี้ได้แก่ CVE-2020-16126 ซึ่งทำให้เกิดการบัญชีสิทธิ์สามารถแครชโปรเซสของ GDM ให้เกิด segmentation fault ได้และ CVE-2020-16127 ซึ่งทำให้ผู้โจมตีสามารถยกระดับสิทธิ์ได้ โดยช่องโหว่ CVE-2020-16127 นั้นสามารถโจมตีได้โดยการแก้ไขการตั้งค่าในส่วน System Settings ซึ่งไม่จำเป็นต้องมีสิทธิ์สูงในการตั้งค่าแต่อย่างใด

ระบบที่ได้รับผลกระทบจากสองช่องโหว่นี้ได้แก่ Ubuntu 20.10, Ubuntu 20.04, Ubuntu 18.04, และ Ubuntu 16.04 ผู้ที่สนใจสามารถดูรายละเอียดช่องโหว่เพิ่มเติมได้ที่ : securitylab

ที่มา: bleepingcomputer

ทีม security ของ npm (Node Package Manager) ที่เป็นผู้ให้บริการ Package Manager ของ JavaScript ได้ทำการลบ JavaScript Library ที่มีชื่อว่า "twilio-npm" ออกไปเมื่อวันที่ 2 พฤศจิกายนที่ผ่านมา เนื่องจากพบว่า Script ดังกล่าวจะมีการสั่งให้แอบเปิด TCP reverse shell บนเครื่องของนักพัฒนาที่นำไปใช้ จากรายงานระบุว่า reverse shell ดังกล่าวจะเปิดการเชื่อมต่อไปยัง 4.tcp.

นักวิจัยพบจากบริษัท Sonatype ได้รายงานถึงการตรวจพบแพ็คเกจ npm ที่เป็นอันตรายซึ่งภายในแพ็คเกจจะมีโค้ดที่ทำการรวบรวมรายละเอียดผู้ใช้และทำการอัปโหลดข้อมูลไปยัง GitHub ของแฮกเกอร์

ตามรายงานจาก Sonatype พบว่าแพ็คเกจทั้งสี่คือ Electorn, lodashs, loadyaml และ loadyml ทั้ง 4 แพ็คเกจได้รับการพัฒนาจากผู้ใช้คนเดียวกันที่ชื่อ simplelive12 และถูกอัปโหลดลงบนพอร์ทัล npm ในเดือนสิงหาคมแต่ปัจจุบันถูกลบไปแล้วโดยทีมรักษาความปลอดภัยของ npm จากการตรวจสอบโค้ดของแพ็คเกจทั้งสี่พบว่า ผู้โจมตีได้มีการใช้เทคนิค typosquatting ซึ่งเป็นเทคนิคที่อาศัยการที่ผู้ใช้ที่ทำการสะกดชื่อของแพ็กเกจผิด เพื่อให้ทำให้ผู้ใช้ได้รับการติดตั้งแพ็คเกจที่มีชื่อคล้ายกันและภายในจะแพ็คเกจจะมีโค้ดที่ทำการรวบรวม IP address, country, city, computer username, home directory path และข้อมูลโมเดลรุ่นของ CPU และการโพสต์ข้อมูลในส่วนของ GitHub repository ของผู้พัฒนา

นักวิจัยจาก Sonatype กล่าวว่าข้อมูลที่ถูกส่งกับไปยัง GitHub นั้นจะถูกลบออกทุกๆ 24 ชั่วโมงซึ่งส่วนใหญ่จะถูกคัดลอกและถูกจัดทำดัชนีภายในฐานข้อมูลอื่น ยังไม่ชัดเจนว่าเป้าหมายของการดำเนินการนี้คืออะไร ทั้งนี้ผู้ใช้ควรทำการตรวจสอบแพ็คเกจ JavaScript npm ภายในเครื่องถ้าพบว่าเคยทำการติดตั้งแพ็คเกจชุดนี้ควรทำการตรวจสอบและลบออกจากเครื่องเพื่อเป็นการป้องกันการใช้ประโยชน์จากข้อมูลที่ถูกเก็บไปใช้ประโยชน์ในการโจมตีในรูปแบบอื่น

ที่มา: zdnet.

กิจกรรม Hacktoberfest เป็นกิจกรรมซึ่งร่วมจัดโดย Digital Ocean, GitHub และ Twilio เพื่อการเฉลิมฉลองและสนับสนุนการพัฒนาซอฟต์แวร์แบบโอเพนซอร์ส เงื่อนไขของการทำกิจกรรมคือการ contribute โครงการโอเพนซอร์สอย่างน้อย 5 ครั้งก่อนวันที่ 31 ตุลาคมเพื่อรับเสื้อของกิจกรรม Hacktoberfest

ความนิยมของกิจกรรมและความโลภของคนที่แย่งกันจะเอาเสื้อตัวเดียวนั้นส่งผลให้โครงการโอเพนซอร์สหลายโครงการประสบกับเหตุการณ์ pull request ขยะเป็นจำนวน บาง pull request ซึ่งเปิดมาให้พิจารณาการแก้ไขโค้ดในโครงการโอเพนซอร์สบางกรณีนั้นเป็นแค่การเพิ่ม newline หรือการขึ้นบรรทัดใหม่เพื่อปั่นจำนวน contribution ให้สามารถรับของรางวัลได้ หรีอในบางกรณีก็มีการเปิดแก้ไขไฟล์ README ของโครงการโอเพนซอร์สเพื่อเพิ่มคำขยะเข้ามา

หลังจากประสบการ pull request ขยะเป็นจำนวนมาก ทางผู้จัดกิจกรรม Hacktoberfest ได้มีการเพิ่มมาตรการใหม่ในการเปลี่ยนลักษณะโครงการเป็นแบบ opt-in only แล้ว โดยโครงการไหนอยากเข้าร่วมโครงการ Hacktoberfest จะต้องมีการระบุชื่อ topic เป็น "hacktoberfest" ไว้ที่ repository ของโครงการ หาก pull request ที่ถูก approve โดยเจ้าของโครงการ เจ้าของโครงการจะต้องมีการ tag "hacktoberfest-accpeted" ด้วย

อ่านข้อมูลเพิ่มเติมของกิจกรรมและเงื่อนไขของกิจกรรมอื่น ๆ ของผู้จัดกิจกรรมได้ที่แหล่งที่มาครับ

ที่มา : hacktoberfest

GitHub ได้เปิดตัวฟีเจอร์ด้านความปลอดภัยใหม่ที่ชื่อว่า Code Scanning สำหรับผู้ใช้ทุกคนทั้งในบัญชีแบบชำระเงินและบัญชีฟรี

ฟีเจอร์ด้านความปลอดภัยใหม่นี้จะช่วยสแกนหาโค้ดที่ช่องโหว่ให้ผู้ใช้งานเพื่อช่วยทำการวิเคราะห์เมื่อเกิดการส่งคำขอ Pull Requests, Commit และ Merge ซึ่งเมื่อตรวจพบช่องโหว่ Code Scanning จะทำงานโดยแจ้งเตือนให้นักพัฒนาแก้ไขโค้ดของตน

ฟีเจอร์ Code Scanning จะทำงานความสามารถของ CodeQL (Code query language) ซึ่งเป็นเทคโนโลยีของ GitHub ที่ได้นำมาใช้ในแพลตฟอร์มหลังจากทำการซื้อกิจการมาจาก Semmle ซึ่งด้วยความสามารถของ CodeQL นี้จะช่วยให้นักพัฒนาสามารถเขียน Rule เพื่อตรวจหาช่องโหว่ในโค้ดได้ในปริมาณมากๆ

หลังจากทีมงาน GitHub เปิดให้ผู้ทดสอบเบต้าทดสอบมาตั้งเเต่เดือนพฤษภาคมที่ผ่านมา โดยฟีเจอร์นี้ได้ทำการทดสอบการสแกนหาช่องโหว่ไปแล้วกว่า 1,400,000 ครั้งกับ repository จำนวน 12,000 แห่ง ซึ่งช่องโหว่ที่ถูกพบและสามารถระบุได้หลักๆ จำนวนกว่า 20,000 รายการคือ ช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Remote Code Execution - RCE), SQL Injection และ Cross-Site Scripting (XSS)

ทั้งนี้ผู้ใช้งานจะถูกแจ้งเตือนให้เปิดใช้งานฟีเจอร์ดังกล่าวหรือผู้ใช้งานสามารถเปิดการใช้งานฟีเจอร์ได้ด้วยตนเอง โดยการเข้าไปที่แท็บ ‘Security’ และในช่อง Code Scanning ให้เลือก Set up code scanning เพื่อเปิดใช้งาน

ที่มา : zdnet

 

แฮกเกอร์ปล่อยข้อมูลซอร์สโค้ด GPU ของ Xbox Series X ที่ขโมยมา

บริษัท AMD ยอมรับว่าแฮกเกอร์ได้ทำการขโมยข้อมูลซอร์สโค้ดฮาร์ดแวร์สำหรับ GPU ที่ AMD กำลังจะเปิดตัวผลิตภัณฑ์และบริษัทได้ออกแถลงการณ์ยืนยันอย่างเป็นทางการแล้ว

คำแถลงของ AMD กล่าวว่าการแฮกเกิดขึ้นในเดือนธันวาคม 2019 แฮกเกอร์ดำเนินการโดยใช้ชื่อว่า “ xxXsoullessXxx” ได้เข้ามาขโมยข้อมูลกราฟิกซีพียู “Series X” ซึ่งส่วนใหญ่ใช้ใน Xbox พร้อมกับซอร์สโค้ดของกราฟิกการ์ดที่กำลังจะใช้สำหรับคอมพิวเตอร์พีซี

ในขณะนี้ มีการปรากฎของซอร์สโค้ดบางส่วนบน GitHub ซึ่งเชื่อกันว่าแฮกเกอร์เป็นผู้เผยแพร่ข้อมูลดังกล่าว โดยซอร์สโค้ดที่ถูกปล่อยออกมานั้นเป็นซอร์สโค้ดและข้อมูลที่ได้รับการยืนยันแล้วว่าเกี่ยวข้องกับฮาร์ดแวร์ AMD Navi GPU

ยังไม่มีรายละเอียดถึงวิธีการและเทคนิคที่แฮกเกอร์ใช้ในการเข้าถึงระบบภายในและขโมยข้อมูลออกมา

ที่มา: hackread

Scotiabank ได้รับผลกระทบ หลังจากทำซอร์สโค้ดภายในและข้อมูลรั่วไหลออกสู่อินเตอร์เน็ต

Scotiabank สถาบันการเงินรายใหญ่ของแคนาดาได้ทำซอร์สโค้ดภายในรั่วไหลออกสู่ออนไลน์ โดยมีบางส่วนที่เป็นข้อมูลสำหรับเข้าสู่ระบบเบื้องหลังของธนาคาร

ข้อมูลที่รั่วนี้แสดงใน GitHub มีพิมพ์เขียวซอฟต์แวร์และคีย์เข้าถึงข้อมูลระบบอัตราแลกเปลี่ยนระหว่างประเทศ โค้ดแอปพลิเคชัน Scotiabank ที่ถูกใช้ในอเมริกากลางและอเมริกาใต้ และข้อมูลเข้าระบบสำหรับบริการและฐานข้อมูล

ข้อมูลภายใน GitHub ที่แสดงออกมาได้ถูกสันนิษฐานว่าอาจมาจากการตั้งคอนฟิกที่ผิดอย่างไม่ตั้งใจจากพนักงานของ Scotiabank เอง ซึ่งข้อมูลควรที่จะถูกลบหรือซ่อนเอาไว้

ที่มา : theregister.

แฮกเกอร์เรียกค่าไถ่แลกกับการไม่เปิด git repository เป็นสาธารณะ หากผู้ที่ตกเป็นเหยื่อไม่ชำระเงินใน 10 วัน

แฮกเกอร์อ้างว่าซอร์สโค้ดทั้งหมดได้รับการดาวน์โหลดและเก็บไว้ในเซิร์ฟเวอร์ตัวใดตัวหนึ่งแล้วให้เหยื่อจ่ายเงินค่าไถ่ 10 วัน ชำระเงินเป็น 0.1 Bitcoin (~ $ 570) มิฉะนั้นพวกเขาจะทำให้ซอร์สโค้ดเป็นสาธารณะ การโจมตีครั้งนี้เกิดกับหลายๆ บริการโฮสติ้ง Git ทั้ง GitHub Bitbucket และ GitLab และยังไม่ชัดเจนว่าเกิดขึ้นได้อย่างไร
โดยแฮกเกอร์จะลบซอร์สโค้ดทั้งหมดและ commit ล่าสุดจากบริการโฮสติ้ง Git ของเหยื่อ

จากการสำรวจของ GitHub พบว่า git repository บน GitHub อย่างน้อย 392 แห่งได้ถูกเรียกค่าไถ่แล้ว และจากข้อมูลของ BitcoinAbuse.

GitHub ได้นำเสนอความสามารถใหม่เพื่อช่วยสแกนโทเค็นใน repository สาธารณะและแจ้งเตือน

GitHub ประกาศคุณลักษณะด้านความปลอดภัยใหม่ๆ เมื่อวันอังคารที่ผ่านมา ซึ่งมีจุดมุ่งหมายเพื่อช่วยให้นักพัฒนาซอฟต์แวร์ปลอดภัยจากช่องโหว่ และช่วยให้เก็บข้อมูลที่สำคัญ เช่น โทเค็นการเข้าถึง และ code ที่ไม่เปิดเผยต่อสาธารณะได้ปลอดภัยขึ้น ล่าสุดบริษัทได้ประกาศความสามารถใหม่ที่จะช่วย scan โทเค็น และ credential ใน repository สาธารณะ ที่ใช้สำหรับบริการของ cloud อย่างเช่น AWS, Azure, Google, Slack และ GitHub เอง โดยอาจจะเป็น private key ที่เกี่ยวข้องกับบัญชีผู้ใช้งานของ GitHub ที่ยังไม่ถูกเข้ารหัส ซึ่งเพิ่มเติมมาจากของเดิมที่ช่วย scan เพียงแค่โทเค็นของ GitHub OAuth และโทเค็นส่วนตัวเท่านั้น

การเปิดเผยโทเค็นไว้ในแหล่งข้อมูลสาธารณะนั้นถือว่าเป็นปัญหาใหญ่มาก เนื่องจากผู้ที่ได้ไปนั้นจะสามารถเข้าถึงข้อมูลที่ไม่ต้องการเปิดเผยได้อย่างง่ายดาย ซึ่งประเด็นนี้ถูกหยิบยกมาพูดถึงหลังจากเมื่อเดือนที่แล้ว Facebook พบกับปัญหาด้านความปลอดภัย ที่ส่งผลให้แฮกเกอร์สามารถขโมยโทเค็นสำหรับเข้าถึงบัญชีไปได้อย่างมากมาย นักพัฒนาซอฟต์แวร์ที่ใช้ GitHub อาจเผลอใส่ข้อมูลโทเค็นสำคัญไว้ใน code ที่เปิดเป็นสาธารณะเอาไว้ เมื่อ scan เจอจะมีการแจ้งให้ผู้ให้บริการของโทเค็นรับทราบ เพื่อสร้างโทเค็นใหม่ และแจ้งให้แก่ผู้ใช้งาน

นอกจากนี้ยังมีการประกาศ Security Advisory API ซึ่งจะรวมข้อมูลความปลอดภัยจากแหล่งต่างๆ และช่วยในการอัพเดตให้หากเป็นปัญหาที่เกี่ยวข้อง Project ต่างๆ บนแพลตฟอร์มของ GitHub โดย API จะช่วยให้ผู้ใช้สามารถทำการอัพเดตความปลอดภัยต่างๆ บน Project ของตนเองได้ง่ายขึ้น นอกจากนี้ยังได้เพิ่มเติมการแจ้งช่องโหว่ด้านความปลอดภัยสำหรับภาษา Java และ .NET ซึ่งก่อนหน้านี้รองรับแค่ JavaScript, Ruby และ Python เท่านั้น

ที่มา:cyberscoop