File palsu di Github mungkin merupakan malware - bahkan dari "Microsoft"

Peneliti keamanan telah mengidentifikasi kerentanan dalam sistem pengunggahan file komentar GitHub yang dieksploitasi oleh pelaku jahat untuk menyebarkan malware.

Begini cara kerjanya: Saat pengguna mengunggah file ke a Komentar GitHub (meskipun komentar itu sendiri tidak pernah diposting), tautan unduhan dibuat secara otomatis. Tautan ini menyertakan nama repositori dan pemiliknya, yang berpotensi mengelabui korban agar menganggap file tersebut sah karena afiliasi sumber tepercaya.

Misalnya, peretas dapat mengunggah malware ke repositori acak, dan tautan unduhannya mungkin tampak berasal dari pengembang atau perusahaan terkenal seperti Microsoft.

URL pemasang malware menunjukkan bahwa mereka milik Microsoft, namun tidak ada referensi ke sana dalam kode sumber proyek.

https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip

https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip

Kerentanan ini tidak memerlukan keahlian teknis apa pun; cukup mengunggah file berbahaya ke komentar saja sudah cukup.

Misalnya, pelaku ancaman dapat mengunggah malware yang dapat dieksekusi di repo penginstal driver NVIDIA yang berpura-pura menjadi driver baru yang memperbaiki masalah dalam game populer. Atau pelaku ancaman dapat mengunggah file dalam komentar ke kode sumber Google Chromium dan berpura-pura bahwa itu adalah versi uji coba baru dari browser web.

URL ini juga tampaknya milik repositori perusahaan, sehingga membuatnya jauh lebih dapat dipercaya.

Sayangnya, saat ini tidak ada cara bagi pengembang untuk mencegah penyalahgunaan ini selain menonaktifkan komentar sepenuhnya, yang menghambat kolaborasi proyek.

Meskipun GitHub telah menghapus beberapa kampanye malware yang diidentifikasi dalam laporan, kerentanan mendasarnya masih belum ditambal, dan tidak jelas apakah atau kapan perbaikan akan diterapkan.

More sini.