Falske filer på Github kan være skadelig programvare - selv fra "Microsoft"

Sikkerhetsforskere har identifisert en sårbarhet i GitHubs kommentarfilopplastingssystem som ondsinnede aktører utnytter for å spre skadelig programvare.

Slik fungerer det: Når en bruker laster opp en fil til en GitHub-kommentar (selv om selve kommentaren aldri blir lagt ut), genereres en nedlastingslenke automatisk. Denne koblingen inkluderer navnet på depotet og dets eier, og kan potensielt lure ofre til å tro at filen er legitim på grunn av den pålitelige kildetilknytningen.

For eksempel kan hackere laste opp skadelig programvare til et tilfeldig depot, og nedlastingskoblingen kan se ut til å være fra en kjent utvikler eller et selskap som Microsoft.

Nettadressene til malwareinstallatørene indikerer at de tilhører Microsoft, men det er ingen referanse til dem i prosjektets kildekode.

https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip

https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip

Denne sårbarheten krever ingen teknisk ekspertise; bare å laste opp en ondsinnet fil til en kommentar er nok.

For eksempel kan en trusselaktør laste opp en kjørbar skadevare i NVIDIAs driverinstallasjonsrepo som utgir seg for å være en ny driver som fikser problemer i et populært spill. Eller en trusselaktør kan laste opp en fil i en kommentar til Google Chromium-kildekoden og late som om det er en ny testversjon av nettleseren.

Disse nettadressene ser også ut til å tilhøre selskapets depoter, noe som gjør dem langt mer pålitelige.

Dessverre er det for øyeblikket ingen måte for utviklere å forhindre dette misbruket, i tillegg til å deaktivere kommentarer fullstendig, noe som hindrer prosjektsamarbeid.

Mens GitHub har fjernet noen malware-kampanjer identifisert i rapporter, forblir den underliggende sårbarheten uopprettet, og det er uklart om eller når en reparasjon vil bli implementert.

Mer her.