Các tệp giả trên Github có thể là phần mềm độc hại - thậm chí từ "Microsoft"

Các nhà nghiên cứu bảo mật đã xác định được một lỗ hổng trong hệ thống tải lên tệp bình luận của GitHub mà các tác nhân độc hại đang khai thác để phát tán phần mềm độc hại.

Đây là cách nó hoạt động: Khi người dùng tải một tập tin lên một bình luận GitHub (ngay cả khi bình luận đó chưa bao giờ được đăng), một liên kết tải xuống sẽ tự động được tạo. Liên kết này bao gồm tên của kho lưu trữ và chủ sở hữu của nó, có khả năng đánh lừa nạn nhân nghĩ rằng tệp là hợp pháp do liên kết nguồn đáng tin cậy.

Ví dụ: tin tặc có thể tải phần mềm độc hại lên một kho lưu trữ ngẫu nhiên và liên kết tải xuống có thể đến từ một nhà phát triển hoặc công ty nổi tiếng như Microsoft.

URL của trình cài đặt phần mềm độc hại cho thấy chúng thuộc về Microsoft nhưng không có tham chiếu nào đến chúng trong mã nguồn của dự án.

https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip

https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip

Lỗ hổng này không yêu cầu bất kỳ chuyên môn kỹ thuật nào; chỉ cần tải tệp độc hại lên bình luận là đủ.

Ví dụ: kẻ đe dọa có thể tải lên một phần mềm độc hại có thể thực thi được trong kho trình cài đặt trình điều khiển của NVIDIA, giả vờ là trình điều khiển mới khắc phục sự cố trong một trò chơi phổ biến. Hoặc kẻ đe dọa có thể tải tệp trong nhận xét lên mã nguồn Google Chrome và giả vờ đó là phiên bản thử nghiệm mới của trình duyệt web.

Những URL này dường như cũng thuộc về kho lưu trữ của công ty, khiến chúng trở nên đáng tin cậy hơn nhiều.

Thật không may, hiện tại không có cách nào để các nhà phát triển ngăn chặn việc lạm dụng này ngoài việc vô hiệu hóa hoàn toàn các nhận xét, điều này cản trở sự hợp tác của dự án.

Mặc dù GitHub đã xóa một số chiến dịch phần mềm độc hại được xác định trong các báo cáo, nhưng lỗ hổng cơ bản vẫn chưa được vá và không rõ liệu bản sửa lỗi có được triển khai hay không và khi nào.

Hơn tại đây.