فایلهای جعلی در Github ممکن است بدافزار باشند - حتی از "Microsoft"
2 دقیقه خواندن
منتشر شده در
صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب
یادداشت های کلیدی
- هکرها از نظرات GitHub برای آپلود بدافزارهایی که به عنوان فایل های قابل اعتماد پنهان شده اند سوء استفاده می کنند.
- پیوندهای دانلود با درج نام آپلودکننده (به عنوان مثال، مایکروسافت) قانونی به نظر می رسند.
- هیچ راه حل فعلی برای توسعه دهندگان وجود ندارد، غیرفعال کردن نظرات به همکاری آسیب می رساند.
محققان امنیتی یک آسیب پذیری را در سیستم آپلود فایل نظرات GitHub شناسایی کرده اند که عوامل مخرب از آن برای انتشار بدافزار سوء استفاده می کنند.
نحوه کار به این صورت است: وقتی کاربر یک فایل را در a آپلود می کند نظر GitHub (حتی اگر خود نظر هرگز پست نشود)، یک لینک دانلود به طور خودکار ایجاد می شود. این پیوند شامل نام مخزن و مالک آن است که به طور بالقوه قربانیان را فریب می دهد تا فکر کنند فایل به دلیل وابستگی منبع قابل اعتماد، قانونی است.
به عنوان مثال، هکرها می توانند بدافزار را در یک مخزن تصادفی آپلود کنند و لینک دانلود ممکن است به نظر از یک توسعه دهنده یا شرکت معروفی مانند مایکروسافت باشد.
نشانیهای اینترنتی نصبکنندههای بدافزار نشان میدهد که متعلق به مایکروسافت هستند، اما هیچ اشارهای به آنها در کد منبع پروژه وجود ندارد.
https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip
https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip
این آسیب پذیری به هیچ تخصص فنی نیاز ندارد. به سادگی آپلود یک فایل مخرب در یک نظر کافی است.
به عنوان مثال، یک عامل تهدید میتواند یک بدافزار قابل اجرا در مخزن نصب درایور NVIDIA آپلود کند که وانمود میکند درایور جدیدی است که مشکلات یک بازی محبوب را برطرف میکند. یا یک عامل تهدید میتواند فایلی را در یک نظر در کد منبع Google Chromium آپلود کند و وانمود کند که نسخه آزمایشی جدیدی از مرورگر وب است.
به نظر می رسد که این URL ها متعلق به مخازن شرکت هستند و آنها را بسیار قابل اعتمادتر می کند.
متأسفانه، در حال حاضر هیچ راهی برای توسعه دهندگان برای جلوگیری از این سوء استفاده به جز غیرفعال کردن نظرات به طور کامل وجود ندارد، که مانع همکاری پروژه می شود.
در حالی که GitHub برخی از کمپینهای بدافزار شناسایی شده در گزارشها را حذف کرده است، آسیبپذیری زیربنایی اصلاح نشده باقی میماند و مشخص نیست که آیا اصلاحیه یا چه زمانی اجرا خواهد شد.
بیشتر اینجا.