Arquivos falsos no Github podem ser malware – até mesmo da “Microsoft”

Pesquisadores de segurança identificaram uma vulnerabilidade no sistema de upload de arquivos de comentários do GitHub que atores mal-intencionados estão explorando para espalhar malware.

Funciona assim: quando um usuário carrega um arquivo em um Comentário do GitHub (mesmo que o comentário em si nunca seja postado), um link para download é gerado automaticamente. Este link inclui o nome do repositório e seu proprietário, potencialmente induzindo as vítimas a pensarem que o arquivo é legítimo devido à afiliação à fonte confiável.

Por exemplo, os hackers podem enviar malware para um repositório aleatório, e o link de download pode parecer ser de um desenvolvedor ou empresa conhecido como a Microsoft.

Os URLs dos instaladores de malware indicam que pertencem à Microsoft, mas não há referência a eles no código-fonte do projeto.

https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip

https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip

Esta vulnerabilidade não requer nenhum conhecimento técnico; simplesmente enviar um arquivo malicioso para um comentário é suficiente.

Por exemplo, um agente de ameaça pode carregar um executável de malware no repositório do instalador de driver da NVIDIA que finge ser um novo driver que corrige problemas em um jogo popular. Ou um agente de ameaça pode enviar um arquivo em um comentário ao código-fonte do Google Chromium e fingir que é uma nova versão de teste do navegador da web.

Essas URLs também parecem pertencer aos repositórios da empresa, tornando-as muito mais confiáveis.

Infelizmente, atualmente não há nenhuma maneira de os desenvolvedores evitarem esse uso indevido, além de desativar totalmente os comentários, o que dificulta a colaboração no projeto.

Embora o GitHub tenha removido algumas campanhas de malware identificadas nos relatórios, a vulnerabilidade subjacente permanece sem correção e não está claro se ou quando uma correção será implementada.

Mais Aqui.