فایل‌های جعلی در Github ممکن است بدافزار باشند - حتی از "Microsoft"

محققان امنیتی یک آسیب پذیری را در سیستم آپلود فایل نظرات GitHub شناسایی کرده اند که عوامل مخرب از آن برای انتشار بدافزار سوء استفاده می کنند.

نحوه کار به این صورت است: وقتی کاربر یک فایل را در a آپلود می کند نظر GitHub (حتی اگر خود نظر هرگز پست نشود)، یک لینک دانلود به طور خودکار ایجاد می شود. این پیوند شامل نام مخزن و مالک آن است که به طور بالقوه قربانیان را فریب می دهد تا فکر کنند فایل به دلیل وابستگی منبع قابل اعتماد، قانونی است.

به عنوان مثال، هکرها می توانند بدافزار را در یک مخزن تصادفی آپلود کنند و لینک دانلود ممکن است به نظر از یک توسعه دهنده یا شرکت معروفی مانند مایکروسافت باشد.

نشانی‌های اینترنتی نصب‌کننده‌های بدافزار نشان می‌دهد که متعلق به مایکروسافت هستند، اما هیچ اشاره‌ای به آن‌ها در کد منبع پروژه وجود ندارد.

https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip

https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip

این آسیب پذیری به هیچ تخصص فنی نیاز ندارد. به سادگی آپلود یک فایل مخرب در یک نظر کافی است.

به عنوان مثال، یک عامل تهدید می‌تواند یک بدافزار قابل اجرا در مخزن نصب درایور NVIDIA آپلود کند که وانمود می‌کند درایور جدیدی است که مشکلات یک بازی محبوب را برطرف می‌کند. یا یک عامل تهدید می‌تواند فایلی را در یک نظر در کد منبع Google Chromium آپلود کند و وانمود کند که نسخه آزمایشی جدیدی از مرورگر وب است.

به نظر می رسد که این URL ها متعلق به مخازن شرکت هستند و آنها را بسیار قابل اعتمادتر می کند.

متأسفانه، در حال حاضر هیچ راهی برای توسعه دهندگان برای جلوگیری از این سوء استفاده به جز غیرفعال کردن نظرات به طور کامل وجود ندارد، که مانع همکاری پروژه می شود.

در حالی که GitHub برخی از کمپین‌های بدافزار شناسایی شده در گزارش‌ها را حذف کرده است، آسیب‌پذیری زیربنایی اصلاح نشده باقی می‌ماند و مشخص نیست که آیا اصلاحیه یا چه زمانی اجرا خواهد شد.

بیشتر اینجا.