A Githubon található hamis fájlok rosszindulatú programok lehetnek – akár a Microsofttól is
2 perc olvas
Publikálva
Olvassa el közzétételi oldalunkat, hogy megtudja, hogyan segítheti az MSPowerusert a szerkesztői csapat fenntartásában Tovább
Főbb megjegyzések
- A hackerek kihasználják a GitHub megjegyzéseit megbízható fájloknak álcázott rosszindulatú programok feltöltésére.
- A letöltési linkek legálisnak tűnnek a feltöltő nevének feltüntetésével (pl. Microsoft).
- Nincs aktuális javítás a fejlesztők számára, a megjegyzések letiltása sérti az együttműködést.
A biztonsági kutatók egy sérülékenységet azonosítottak a GitHub megjegyzésfájl-feltöltő rendszerében, amelyet a rosszindulatú szereplők rosszindulatú programok terjesztésére használnak ki.
Így működik: Amikor egy felhasználó feltölt egy fájlt a GitHub megjegyzés (még akkor is, ha magát a megjegyzést soha nem teszik közzé), a rendszer automatikusan létrehoz egy letöltési linket. Ez a hivatkozás tartalmazza az adattár nevét és tulajdonosát, ami a megbízható forráshoz való kötődés miatt potenciálisan ráveheti az áldozatokat, hogy azt gondolják, a fájl legitim.
Például a hackerek rosszindulatú programokat tölthetnek fel egy véletlenszerű adattárba, és úgy tűnhet, hogy a letöltési link egy jól ismert fejlesztőtől vagy cégtől származik, mint például a Microsoft.
A rosszindulatú programok telepítőinek URL-címei azt jelzik, hogy a Microsofthoz tartoznak, de a projekt forráskódjában nincs rájuk utalás.
https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip
https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip
Ez a sérülékenység nem igényel technikai szakértelmet; elég egy rosszindulatú fájl feltöltése egy megjegyzéshez.
Például egy fenyegetőző feltölthet egy olyan rosszindulatú program futtatható fájlját az NVIDIA illesztőprogram-telepítő tárházába, amely úgy tesz, mintha egy új illesztőprogram lenne, amely egy népszerű játék problémáit javítja ki. Vagy egy fenyegetőző feltölthet egy fájlt egy megjegyzésben a Google Chromium forráskódjába, és úgy tehet, mintha az a webböngésző új tesztverziója lenne.
Úgy tűnik, hogy ezek az URL-ek a vállalat adattáraihoz tartoznak, így sokkal megbízhatóbbak.
Sajnos a fejlesztők jelenleg nem tudják megakadályozni ezt a visszaélést, a megjegyzések teljes letiltása mellett, ami akadályozza a projekt együttműködését.
Noha a GitHub eltávolított néhány, a jelentésekben azonosított rosszindulatú programkampányt, a mögöttes biztonsági rést továbbra sem javították, és nem világos, hogy végrehajtják-e a javítást, és mikor.
Több itt.