Valse bestanden op Github kunnen malware zijn, zelfs van "Microsoft"

Home » Nieuws

Pictogram voor leestijd 2 minuut. lezen

Kalender pictogram Uitgegeven op

by Devesh Beri 

gepubliceerd op

deel dit artikel

Lezers helpen MSpoweruser ondersteunen. We kunnen een commissie krijgen als u via onze links koopt. Tooltip-pictogram

Lees onze openbaarmakingspagina om erachter te komen hoe u MSPoweruser kunt helpen het redactieteam te ondersteunen Lees meer

Belangrijkste opmerkingen

  • Hackers misbruiken GitHub-opmerkingen om malware te uploaden, vermomd als vertrouwde bestanden.
  • Downloadlinks lijken legitiem door de naam van de uploader op te nemen (bijvoorbeeld Microsoft).
  • Momenteel geen oplossing voor ontwikkelaars; het uitschakelen van reacties schaadt de samenwerking.

Beveiligingsonderzoekers hebben een kwetsbaarheid in GitHub's uploadsysteem voor commentaarbestanden geïdentificeerd die kwaadwillende actoren misbruiken om malware te verspreiden.

Zo werkt het: Wanneer een gebruiker een bestand uploadt naar een GitHub-opmerking (zelfs als de reactie zelf nooit wordt geplaatst), wordt er automatisch een downloadlink gegenereerd. Deze link bevat de naam van de repository en de eigenaar ervan, waardoor slachtoffers mogelijk worden misleid door te denken dat het bestand legitiem is vanwege de vertrouwde bronverbinding.

Hackers kunnen bijvoorbeeld malware naar een willekeurige opslagplaats uploaden en de downloadlink lijkt afkomstig te zijn van een bekende ontwikkelaar of bedrijf als Microsoft.

De URL's van de malware-installatieprogramma's geven aan dat ze eigendom zijn van Microsoft, maar er is geen verwijzing ernaar in de broncode van het project.

https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip

https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip

Voor deze kwetsbaarheid is geen technische expertise vereist; het eenvoudigweg uploaden van een kwaadaardig bestand naar een opmerking is voldoende.

Een bedreigingsacteur kan bijvoorbeeld een uitvoerbaar bestand van malware uploaden in de NVIDIA-repository voor het stuurprogramma van NVIDIA, dat zich voordoet als een nieuw stuurprogramma dat problemen oplost in een populair spel. Of een bedreigingsacteur kan een bestand in een opmerking uploaden naar de broncode van Google Chromium en doen alsof het een nieuwe testversie van de webbrowser is.

Deze URL's lijken ook tot de repository's van het bedrijf te behoren, waardoor ze veel betrouwbaarder zijn.

Helaas is er momenteel geen manier voor ontwikkelaars om dit misbruik te voorkomen, behalve het volledig uitschakelen van reacties, wat de samenwerking tussen projecten belemmert.

Hoewel GitHub enkele malwarecampagnes heeft verwijderd die in rapporten zijn geïdentificeerd, blijft de onderliggende kwetsbaarheid ongepatcht en is het onduidelijk of en wanneer een oplossing zal worden geïmplementeerd.

Meer hier.

Devesh Beri

Devesh Beri Schild

Technisch journalist

Dit zijn de dingen die mij motiveren: informatieve en nuttige inhoud creëren, mijn passie voor autosport en muziek nastreven, deelnemen aan expedities, een gezonde levensstijl handhaven en tijd doorbrengen met mijn schattige kat Taco.