Les faux fichiers sur Github peuvent être des logiciels malveillants – même de « Microsoft »

Accueil » Actualité

Icône de temps de lecture 2 minute. lis

Icône de calendrier Publié le

by Devesh Beri 

publié sur

Partagez cet article

Les lecteurs aident à prendre en charge MSpoweruser. Nous pouvons recevoir une commission si vous achetez via nos liens. Icône d'info-bulle

Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale En savoir plus

Notes clés

  • Les pirates exploitent les commentaires GitHub pour télécharger des logiciels malveillants déguisés en fichiers fiables.
  • Les liens de téléchargement semblent légitimes en incluant le nom de l'utilisateur (par exemple, Microsoft).
  • Aucun correctif actuel pour les développeurs, la désactivation des commentaires nuit à la collaboration.

Les chercheurs en sécurité ont identifié une vulnérabilité dans le système de téléchargement de fichiers de commentaires de GitHub que des acteurs malveillants exploitent pour propager des logiciels malveillants.

Voici comment cela fonctionne : Lorsqu'un utilisateur télécharge un fichier sur un Commentaire GitHub (même si le commentaire lui-même n'est jamais publié), un lien de téléchargement est automatiquement généré. Ce lien inclut le nom du référentiel et de son propriétaire, ce qui peut faire croire aux victimes que le fichier est légitime en raison de l'affiliation à une source fiable.

Par exemple, les pirates pourraient télécharger des logiciels malveillants dans un référentiel aléatoire, et le lien de téléchargement pourrait sembler provenir d'un développeur ou d'une entreprise bien connu comme Microsoft.

Les URL des installateurs de logiciels malveillants indiquent qu'ils appartiennent à Microsoft, mais il n'y a aucune référence à celles-ci dans le code source du projet.

https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip

https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip

Cette vulnérabilité ne nécessite aucune expertise technique ; il suffit de télécharger un fichier malveillant dans un commentaire.

Par exemple, un acteur malveillant pourrait télécharger un exécutable de malware dans le référentiel d'installation du pilote de NVIDIA qui prétend être un nouveau pilote résolvant les problèmes d'un jeu populaire. Un acteur malveillant pourrait également télécharger un fichier dans un commentaire sur le code source de Google Chromium et prétendre qu'il s'agit d'une nouvelle version de test du navigateur Web.

Ces URL semblent également appartenir aux référentiels de l'entreprise, ce qui les rend beaucoup plus fiables.

Malheureusement, les développeurs n'ont actuellement aucun moyen d'empêcher cette utilisation abusive, à part la désactivation complète des commentaires, ce qui entrave la collaboration sur le projet.

Bien que GitHub ait supprimé certaines campagnes de logiciels malveillants identifiées dans les rapports, la vulnérabilité sous-jacente n'a toujours pas été corrigée et il n'est pas clair si ou quand un correctif sera mis en œuvre.

Plus ici.

Devesh Beri

Devesh Beri bouclier

Journaliste technique

Ce sont les choses qui me motivent : créer du contenu informatif et utile, poursuivre ma passion pour les sports mécaniques et la musique, participer à des expéditions, maintenir un mode de vie sain et passer du temps avec mon adorable chat Taco.

Soyez sympa! Laissez un commentaire

Votre adresse email n'apparaitra pas. Les champs obligatoires sont marqués *