Github 上の偽ファイルはマルウェアの可能性があります - 「Microsoft」からのものであっても

セキュリティ研究者は、悪意のある攻撃者がマルウェアを拡散するために悪用している GitHub のコメント ファイル アップロード システムの脆弱性を特定しました。

その仕組みは次のとおりです。 ユーザーがファイルを GitHubのコメント (コメント自体が投稿されない場合でも)、ダウンロード リンクが自動的に生成されます。このリンクにはリポジトリの名前とその所有者が含まれており、信頼できるソースの所属により、被害者がファイルが正当なものであると思い込ませる可能性があります。

たとえば、ハッカーがマルウェアをランダムなリポジトリにアップロードする可能性があり、そのダウンロード リンクが Microsoft などの有名な開発者または企業からのものであるように見える可能性があります。

マルウェア インストーラーの URL は、それらが Microsoft に属していることを示していますが、プロジェクトのソース コードにはそれらへの参照がありません。

https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip

https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip

この脆弱性を利用するには技術的な専門知識は必要ありません。悪意のあるファイルをコメントにアップロードするだけで十分です。

たとえば、脅威アクターは、人気ゲームの問題を修正する新しいドライバーを装ったマルウェア実行可能ファイルを NVIDIA のドライバー インストーラー リポジトリにアップロードする可能性があります。あるいは、攻撃者がコメント内のファイルを Google Chromium ソース コードにアップロードし、それを Web ブラウザの新しいテスト バージョンであるかのように装うこともできます。

これらの URL は会社のリポジトリに属しているように見えるため、信頼性が大幅に高まります。

残念ながら、現時点ではコメントを完全に無効にする以外に開発者がこの悪用を防ぐ方法はなく、プロジェクトのコラボレーションが妨げられます。

GitHub はレポートで特定されたマルウェア キャンペーンの一部を削除しましたが、根本的な脆弱性は未修正のままであり、修正が実装されるかどうか、いつ実装されるかは不明です。

その他 ページ をご覧ください