Falešné soubory na Github mohou být malware – dokonce i od „Microsoftu“

Bezpečnostní výzkumníci identifikovali zranitelnost v systému nahrávání souborů komentářů na GitHubu, kterou útočníci zneužívají k šíření malwaru.

Funguje to takto: Když uživatel nahraje soubor do a Komentář na GitHubu (i když samotný komentář není nikdy zveřejněn), automaticky se vygeneruje odkaz ke stažení. Tento odkaz obsahuje název úložiště a jeho vlastníka, což může oběti přimět, aby si myslely, že soubor je legitimní kvůli příslušnosti k důvěryhodnému zdroji.

Hackeři by například mohli nahrát malware do náhodného úložiště a odkaz ke stažení může vypadat, že pochází od známého vývojáře nebo společnosti, jako je Microsoft.

Adresy URL instalačních programů malwaru naznačují, že patří společnosti Microsoft, ale ve zdrojovém kódu projektu na ně není žádný odkaz.

https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip

https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip

Tato chyba zabezpečení nevyžaduje žádné technické znalosti; stačí jednoduše nahrát škodlivý soubor do komentáře.

Například hrozba by mohla nahrát malware spustitelný v repo instalátoru ovladačů NVIDIA, který předstírá, že jde o nový ovladač opravující problémy v populární hře. Nebo by hrozba mohla nahrát soubor v komentáři ke zdrojovému kódu Google Chromium a předstírat, že jde o novou testovací verzi webového prohlížeče.

Zdá se, že tyto adresy URL patří do repozitářů společnosti, což je činí mnohem důvěryhodnějšími.

Bohužel v současné době vývojáři nemají žádný způsob, jak tomuto zneužití zabránit, kromě úplného zakázání komentářů, což brání spolupráci na projektu.

Přestože GitHub odstranil některé malwarové kampaně identifikované v přehledech, základní chyba zabezpečení zůstává neopravena a není jasné, zda nebo kdy bude oprava implementována.

Moře zde.