Falska filer på Github kan vara skadlig programvara - även från "Microsoft"

Säkerhetsforskare har identifierat en sårbarhet i GitHubs kommentarfiluppladdningssystem som skadliga aktörer utnyttjar för att sprida skadlig programvara.

Så här fungerar det: När en användare laddar upp en fil till en GitHub-kommentar (även om själva kommentaren aldrig postas) genereras en nedladdningslänk automatiskt. Den här länken innehåller namnet på förvaret och dess ägare, vilket potentiellt kan lura offer att tro att filen är legitim på grund av den betrodda källan.

Till exempel kan hackare ladda upp skadlig programvara till ett slumpmässigt arkiv, och nedladdningslänken kan tyckas vara från en välkänd utvecklare eller ett företag som Microsoft.

Webbadresserna för installatörerna för skadlig programvara indikerar att de tillhör Microsoft, men det finns ingen hänvisning till dem i projektets källkod.

https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip

https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip

Denna sårbarhet kräver ingen teknisk expertis; Det räcker att bara ladda upp en skadlig fil till en kommentar.

Till exempel kan en hotaktör ladda upp en körbar skadlig programvara i NVIDIAs drivrutinsinstallationsrepo som utger sig för att vara en ny drivrutin som fixar problem i ett populärt spel. Eller så kan en hotaktör ladda upp en fil i en kommentar till Google Chromiums källkod och låtsas att det är en ny testversion av webbläsaren.

Dessa webbadresser verkar också tillhöra företagets arkiv, vilket gör dem mycket mer pålitliga.

Tyvärr finns det för närvarande inget sätt för utvecklare att förhindra detta missbruk förutom att helt inaktivera kommentarer, vilket hindrar projektsamarbete.

Medan GitHub har tagit bort några skadliga kampanjer som identifierats i rapporter, förblir den underliggande sårbarheten oparpad och det är oklart om eller när en korrigering kommer att implementeras.

Snarare här.