详解通过 GitHub.com releases 可实施供应链攻击

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

GitHub.com 上的release 功能可使任意项目协作人员均可在 release 中更改资产。这种行为可发生在release 发布后，无需通知项目所有人或公众或访问 UI 中的审计日志。然而，我们可通过 GitHub API 获取某些审计信息。攻击者可攻陷协作人员的账户并在项目所有人或公众不知情的情况下通过该账户修改 release，从而对项目用户发动供应链攻击。

本文作者将这个问题告知厂商后，后者认为这是预期的涉及决策。虽然该厂商计划提出改进，但无法提供更多详情。目前并未在 GitHub.com 付费计划 和 GitHub 企业服务器中进行测试。

该问题的缓解方法是，建议使用 GitHub.com 的项目所有人使用其它方法确保 release 的安全如 PGP 数字签名release。建议用户检查数字签名并使用 GitHub.com release API 提取并验证 release 资产数据。

GitHub.com广泛应用于提供源代码管理 (SCM) 和其它工具的软件开发，也别很多开源项目用于托管和发行。GitHub.com 中的 release 功能提供了将包软件迭代发布为 release 的方式，如在项目中将来源截图压缩为 .ZIP 和 .TAR.GZ 文件以及作为额外的二进制资产。开源项目常常通过该功能分发 release。

Release 初次发布后，GitHub.com 上的release 功能可使任意项目协作人员均可在 release 中修改资产。攻击者可利用该差距攻陷协作人员的账户，并在项目所有人或公众不知情的情况下通过该账户修改 release，从而对项目用户发动供应链攻击。如下一些问题对攻击起到了推波助澜的作用。

• 初次发布 release 后，可修改除了源代码截图的 release 资产。

• 任何项目协作人员均可修改 release——目前并不存在恰当的控制仅允许访问代码而非 release。

• Release 遭修改后，UI 内部并不会向项目所有人或其他协作人员或公众发出任何通知或提示。不过API会泄露某些数据。

• 如果 Git commit 得到验证，则会显示“已验证”标记——但这仅适用于源代码截图而非其它 release 资产。

GitHub 提供的 release API 确实会暴露关于 release 资产的其它信息，被用于查看某 release 是否被修改。这种信息包括上传者的用户名以及上传时的时间戳。这些信息均可和主要的 release 元数据进行比对。

某 release 案例：

暴露资产数据的 API 响应案例：

通过如下步骤可复现该问题：

1、Alice 在 GitHub.com 上创建了一个公开库并添加了一些代码，其中包含一个 shell 脚本 “test.sh”。

2、Alice 邀请 Bob 作为该仓库的协作人员。

3、Alice 公开了包含 shell 脚本 “test.sh” 的release 作为单独资产。

4、Bob 访问了release 并修改了 release 中的 “test.sh”脚本。

5、通过 GitHub.com UI 查看 release 时，并无迹象表明脚本遭修改。下载脚本后发现和 Alice 发布的不一致。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。