ไฟล์ปลอมบน Github อาจเป็นมัลแวร์ แม้กระทั่งจาก "Microsoft"
2 นาที. อ่าน
เผยแพร่เมื่อ
อ่านหน้าการเปิดเผยข้อมูลของเราเพื่อดูว่าคุณจะช่วย MSPoweruser รักษาทีมบรรณาธิการได้อย่างไร อ่านเพิ่มเติม
หมายเหตุสำคัญ
- แฮกเกอร์ใช้ประโยชน์จากความคิดเห็นของ GitHub เพื่ออัปโหลดมัลแวร์ที่ปลอมแปลงเป็นไฟล์ที่เชื่อถือได้
- ลิงก์ดาวน์โหลดปรากฏว่าถูกต้องตามกฎหมายโดยรวมชื่อผู้อัปโหลด (เช่น Microsoft)
- ยังไม่มีการแก้ไขสำหรับนักพัฒนาในปัจจุบัน การปิดใช้งานความคิดเห็นจะทำให้การทำงานร่วมกันเสียหาย
นักวิจัยด้านความปลอดภัยได้ระบุช่องโหว่ในระบบอัปโหลดไฟล์ความคิดเห็นของ GitHub ที่ผู้ประสงค์ร้ายใช้เพื่อแพร่กระจายมัลแวร์
วิธีการทำงานมีดังนี้: เมื่อผู้ใช้อัปโหลดไฟล์ไปยังไฟล์ ความคิดเห็น GitHub (แม้ว่าจะไม่เคยโพสต์ความคิดเห็นก็ตาม) ลิงก์ดาวน์โหลดจะถูกสร้างขึ้นโดยอัตโนมัติ ลิงก์นี้ประกอบด้วยชื่อของพื้นที่เก็บข้อมูลและเจ้าของ ซึ่งอาจหลอกเหยื่อให้คิดว่าไฟล์นั้นถูกต้องตามกฎหมายเนื่องจากแหล่งที่มาที่เชื่อถือได้
ตัวอย่างเช่น แฮกเกอร์สามารถอัปโหลดมัลแวร์ไปยังพื้นที่เก็บข้อมูลแบบสุ่ม และลิงก์ดาวน์โหลดอาจดูเหมือนมาจากนักพัฒนาหรือบริษัทที่มีชื่อเสียง เช่น Microsoft
URL ของตัวติดตั้งมัลแวร์ระบุว่าเป็นของ Microsoft แต่ไม่มีการอ้างอิงถึง URL เหล่านี้ในซอร์สโค้ดของโครงการ
https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip
https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip
ช่องโหว่นี้ไม่จำเป็นต้องมีความเชี่ยวชาญด้านเทคนิคใดๆ เพียงอัปโหลดไฟล์ที่เป็นอันตรายไปยังความคิดเห็นก็เพียงพอแล้ว
ตัวอย่างเช่น ผู้แสดงภัยคุกคามสามารถอัปโหลดมัลแวร์ที่ปฏิบัติการได้ใน repo ตัวติดตั้งไดรเวอร์ของ NVIDIA ที่แสร้งทำเป็นไดรเวอร์ตัวใหม่ที่กำลังแก้ไขปัญหาในเกมยอดนิยม หรือผู้คุกคามสามารถอัปโหลดไฟล์ในความคิดเห็นไปยังซอร์สโค้ดของ Google Chromium และทำเป็นว่าเป็นเวอร์ชันทดสอบใหม่ของเว็บเบราว์เซอร์
URL เหล่านี้ดูเหมือนจะเป็นของคลังเก็บข้อมูลของบริษัท ทำให้น่าเชื่อถือมากขึ้น
ขออภัย ขณะนี้นักพัฒนาซอฟต์แวร์ไม่สามารถป้องกันการใช้งานในทางที่ผิดนี้ได้ นอกเหนือจากการปิดใช้ความคิดเห็นทั้งหมด ซึ่งเป็นอุปสรรคต่อการทำงานร่วมกันของโครงการ
แม้ว่า GitHub ได้ลบแคมเปญมัลแวร์บางรายการที่ระบุในรายงานแล้ว แต่ช่องโหว่ที่อยู่เบื้องหลังยังคงไม่ได้รับการติดตั้ง และไม่ชัดเจนว่าจะมีการแก้ไขเมื่อใดหรือเมื่อใด
More ที่นี่