Lažne datoteke na Githubu mogu biti zlonamjerni softver - čak i od "Microsofta"

Sigurnosni istraživači identificirali su ranjivost u GitHubovom sustavu za učitavanje datoteka komentara koju zlonamjerni akteri iskorištavaju za širenje zlonamjernog softvera.

Evo kako to funkcionira: kada korisnik prenese datoteku na a GitHub komentar (čak i ako sam komentar nikada nije objavljen), automatski se generira poveznica za preuzimanje. Ova veza uključuje naziv repozitorija i njegovog vlasnika, potencijalno zavaravajući žrtve da pomisle da je datoteka legitimna zbog pripadnosti pouzdanom izvoru.

Na primjer, hakeri mogu učitati zlonamjerni softver u nasumično spremište, a veza za preuzimanje može izgledati kao da je od poznatog programera ili tvrtke poput Microsofta.

URL-ovi programa za instalaciju zlonamjernog softvera pokazuju da pripadaju Microsoftu, ali nema reference na njih u izvornom kodu projekta.

https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip

https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip

Ova ranjivost ne zahtijeva nikakvu tehničku stručnost; dovoljno je jednostavno učitavanje zlonamjerne datoteke u komentar.

Na primjer, akter prijetnje mogao bi prenijeti izvršnu datoteku zlonamjernog softvera u NVIDIA-in repo instalacijski program za upravljačke programe koji se pretvara da je novi upravljački program koji rješava probleme u popularnoj igrici. Ili akter prijetnje može učitati datoteku u komentaru na izvorni kod Google Chromiuma i pretvarati se da je to nova testna verzija web preglednika.

Čini se da ti URL-ovi također pripadaju repozitoriju tvrtke, što ih čini daleko pouzdanijima.

Nažalost, trenutačno ne postoji način da programeri spriječe ovu zlouporabu osim potpunog onemogućavanja komentara, što ometa suradnju na projektu.

Iako je GitHub uklonio neke kampanje zlonamjernog softvera identificirane u izvješćima, temeljna ranjivost ostaje nezakrpana i nije jasno hoće li i kada biti implementiran popravak.

more ovdje.