Github 上的虚假文件可能是恶意软件 - 即使来自“Microsoft”

安全研究人员发现 GitHub 评论文件上传系统中存在一个漏洞，恶意行为者正在利用该漏洞传播恶意软件。

它的工作原理如下：当用户将文件上传到 GitHub 评论 （即使评论本身从未发布），会自动生成下载链接。此链接包括存储库的名称及其所有者，可能会诱使受害者认为该文件是合法的，因为来源隶属关系受信任。

例如，黑客可以将恶意软件上传到随机存储库，而下载链接可能看起来来自微软等知名开发商或公司。

恶意软件安装程序的 URL 表明它们属于 Microsoft，但该项目的源代码中没有提及它们。

https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip

https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip

该漏洞不需要任何技术专业知识；只需将恶意文件上传到评论就足够了。

例如，威胁行为者可以在 NVIDIA 的驱动程序安装程序存储库中上传恶意软件可执行文件，该恶意软件可执行文件伪装成修复流行游戏中问题的新驱动程序。或者，威胁行为者可以在 Google Chromium 源代码的评论中上传文件，并假装它是网络浏览器的新测试版本。

这些 URL 似乎也属于该公司的存储库，这使得它们更加值得信赖。

不幸的是，目前开发人员除了完全禁用评论之外没有办法防止这种滥用，这会阻碍项目协作。

虽然 GitHub 已经删除了报告中发现的一些恶意软件活动，但潜在的漏洞仍未修补，并且尚不清楚是否或何时实施修复。

更多 点击此处。