ไฟล์ปลอมบน Github อาจเป็นมัลแวร์ แม้กระทั่งจาก "Microsoft"

นักวิจัยด้านความปลอดภัยได้ระบุช่องโหว่ในระบบอัปโหลดไฟล์ความคิดเห็นของ GitHub ที่ผู้ประสงค์ร้ายใช้เพื่อแพร่กระจายมัลแวร์

วิธีการทำงานมีดังนี้: เมื่อผู้ใช้อัปโหลดไฟล์ไปยังไฟล์ ความคิดเห็น GitHub (แม้ว่าจะไม่เคยโพสต์ความคิดเห็นก็ตาม) ลิงก์ดาวน์โหลดจะถูกสร้างขึ้นโดยอัตโนมัติ ลิงก์นี้ประกอบด้วยชื่อของพื้นที่เก็บข้อมูลและเจ้าของ ซึ่งอาจหลอกเหยื่อให้คิดว่าไฟล์นั้นถูกต้องตามกฎหมายเนื่องจากแหล่งที่มาที่เชื่อถือได้

ตัวอย่างเช่น แฮกเกอร์สามารถอัปโหลดมัลแวร์ไปยังพื้นที่เก็บข้อมูลแบบสุ่ม และลิงก์ดาวน์โหลดอาจดูเหมือนมาจากนักพัฒนาหรือบริษัทที่มีชื่อเสียง เช่น Microsoft

URL ของตัวติดตั้งมัลแวร์ระบุว่าเป็นของ Microsoft แต่ไม่มีการอ้างอิงถึง URL เหล่านี้ในซอร์สโค้ดของโครงการ

https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip

https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip

ช่องโหว่นี้ไม่จำเป็นต้องมีความเชี่ยวชาญด้านเทคนิคใดๆ เพียงอัปโหลดไฟล์ที่เป็นอันตรายไปยังความคิดเห็นก็เพียงพอแล้ว

ตัวอย่างเช่น ผู้แสดงภัยคุกคามสามารถอัปโหลดมัลแวร์ที่ปฏิบัติการได้ใน repo ตัวติดตั้งไดรเวอร์ของ NVIDIA ที่แสร้งทำเป็นไดรเวอร์ตัวใหม่ที่กำลังแก้ไขปัญหาในเกมยอดนิยม หรือผู้คุกคามสามารถอัปโหลดไฟล์ในความคิดเห็นไปยังซอร์สโค้ดของ Google Chromium และทำเป็นว่าเป็นเวอร์ชันทดสอบใหม่ของเว็บเบราว์เซอร์

URL เหล่านี้ดูเหมือนจะเป็นของคลังเก็บข้อมูลของบริษัท ทำให้น่าเชื่อถือมากขึ้น

ขออภัย ขณะนี้นักพัฒนาซอฟต์แวร์ไม่สามารถป้องกันการใช้งานในทางที่ผิดนี้ได้ นอกเหนือจากการปิดใช้ความคิดเห็นทั้งหมด ซึ่งเป็นอุปสรรคต่อการทำงานร่วมกันของโครงการ

แม้ว่า GitHub ได้ลบแคมเปญมัลแวร์บางรายการที่ระบุในรายงานแล้ว แต่ช่องโหว่ที่อยู่เบื้องหลังยังคงไม่ได้รับการติดตั้ง และไม่ชัดเจนว่าจะมีการแก้ไขเมื่อใดหรือเมื่อใด

More ที่นี่