Falske filer på Github kan være malware - selv fra "Microsoft"

Sikkerhedsforskere har identificeret en sårbarhed i GitHubs kommentarfiluploadsystem, som ondsindede aktører udnytter til at sprede malware.

Sådan fungerer det: Når en bruger uploader en fil til en GitHub kommentar (selvom selve kommentaren aldrig bliver postet), genereres der automatisk et downloadlink. Dette link inkluderer navnet på depotet og dets ejer, hvilket potentielt narrer ofre til at tro, at filen er legitim på grund af den betroede kildetilknytning.

For eksempel kunne hackere uploade malware til et tilfældigt lager, og downloadlinket kan se ud til at være fra en velkendt udvikler eller virksomhed som Microsoft.

Malwareinstallatørernes URL'er angiver, at de tilhører Microsoft, men der er ingen henvisning til dem i projektets kildekode.

https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip

https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip

Denne sårbarhed kræver ingen teknisk ekspertise; blot at uploade en ondsindet fil til en kommentar er nok.

For eksempel kan en trusselaktør uploade en eksekverbar malware i NVIDIAs driverinstallationsrepo, der foregiver at være en ny driver, der løser problemer i et populært spil. Eller en trusselaktør kunne uploade en fil i en kommentar til Google Chromium-kildekoden og lade som om, det er en ny testversion af webbrowseren.

Disse URL'er ser også ud til at tilhøre virksomhedens lagre, hvilket gør dem langt mere troværdige.

Desværre er der i øjeblikket ingen måde for udviklere at forhindre dette misbrug udover at deaktivere kommentarer helt, hvilket hindrer projektsamarbejde.

Mens GitHub har fjernet nogle malware-kampagner, der er identificeret i rapporter, forbliver den underliggende sårbarhed uoprettet, og det er uklart, om eller hvornår en rettelse vil blive implementeret.

Mere her.