Ένα ελάττωμα του GitHub, καταχράται από κακόβουλους παράγοντες για τη διανομή malware χρησιμοποιώντας διευθύνσεις URL που σχετίζονται με τα αποθετήρια της Microsoft, κάνοντας τα αρχεία να φαίνονται αξιόπιστα.
Δείτε επίσης: Πώς ένα GitHub token εξέθεσε source code της Mercedes-Benz;
Ενώ το μεγαλύτερο μέρος της δραστηριότητας malware βασίζεται στις διευθύνσεις URL του Microsoft GitHub, αυτό το “ελάττωμα” θα μπορούσε να καταχραστεί με οποιοδήποτε δημόσιο χώρο αποθήκευσης στο GitHub, επιτρέποντας στους παράγοντες απειλών να δημιουργήσουν πολύ πειστικά θέλγητρα.
Κατάχρηση της δυνατότητας μεταφόρτωσης αρχείων του GitHub
Χθες, η McAfee κυκλοφόρησε μια αναφορά για ένα νέο πρόγραμμα φόρτωσης malware LUA που διανέμεται μέσω ενός νόμιμου αποθετηρίου του Microsoft GitHub για το “C++ Library Manager για Windows, Linux και MacOS“, γνωστό ως vcpkg, και τη βιβλιοθήκη STL.
Οι διευθύνσεις URL για τα προγράμματα εγκατάστασης κακόβουλου λογισμικού, που εμφανίζονται παρακάτω, υποδεικνύουν ξεκάθαρα ότι ανήκουν στο αποθετήριο της Microsoft, αλλά δεν μπορέσαμε να βρούμε καμία αναφορά στα αρχεία στον πηγαίο κώδικα του έργου.
https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip
https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip
Τα αρχεία δεν αποτελούν μέρος του vcpkg αλλά ανέβηκαν ως μέρος ενός σχολίου που αφέθηκε σε μια δέσμευση ή ένα ζήτημα στο έργο. Όταν αφήνετε ένα σχόλιο, ένας χρήστης του GitHub μπορεί να επισυνάψει ένα αρχείο (αρχεία, έγγραφα, κ.λπ.), το οποίο θα μεταφορτωθεί στο CDN του GitHub και θα συσχετιστεί με το σχετικό έργο χρησιμοποιώντας μια μοναδική διεύθυνση URL σε αυτήν τη μορφή: “https://www.github. com/{project_user}/{repo_name}/files/{file_id}/{file_name}.”
Για βίντεο και εικόνες, τα αρχεία θα αποθηκευτούν στη διαδρομή /assets/.
Δείτε ακόμα: GitHub: Όλο και πιο συχνή η κατάχρησή του από κυβερνοεγκληματίες
Αντί να δημιουργεί τη διεύθυνση URL μετά τη δημοσίευση ενός σχολίου, το GitHub δημιουργεί αυτόματα τον σύνδεσμο λήψης αφού προσθέσετε το αρχείο σε ένα μη αποθηκευμένο σχόλιο. Αυτό επιτρέπει στους φορείς απειλών να επισυνάψουν το malware τους σε οποιοδήποτε αποθετήριο GitHub χωρίς να το γνωρίζουν.
Ακόμα κι αν αποφασίσετε να μην δημοσιεύσετε το σχόλιο ή να το διαγράψετε μετά τη δημοσίευσή του, τα αρχεία δεν διαγράφονται από το CDN του GitHub και οι διευθύνσεις λήψης URL συνεχίζουν να λειτουργούν για πάντα. Καθώς η διεύθυνση URL του αρχείου περιέχει το όνομα του αποθετηρίου στο οποίο δημιουργήθηκε το σχόλιο, και καθώς σχεδόν κάθε εταιρεία λογισμικού χρησιμοποιεί το GitHub, αυτό το ελάττωμα
μπορεί να επιτρέψει στους παράγοντες απειλών να προωθήσουν το malware τους.Αυτές οι διευθύνσεις URL φαίνεται επίσης να ανήκουν στα αποθετήρια της εταιρείας, καθιστώντας τα πολύ πιο αξιόπιστα.
Δυστυχώς, ακόμα κι αν μια εταιρεία μάθει ότι τα repos της καταχρώνται για τη διανομή malware, δεν υπάρχουν ρυθμίσεις που να σας επιτρέπουν να διαχειρίζεστε αρχεία που είναι συνημμένα στα έργα σας.
Επιπλέον, μπορείτε μόνο να προστατεύσετε έναν λογαριασμό GitHub από malware και αμαύρωση της φήμης σας, μόνο απενεργοποιώντας τα σχόλια. Σύμφωνα με αυτό το έγγραφο υποστήριξης του GitHub, μπορείτε να απενεργοποιήσετε μόνο προσωρινά τα σχόλια για μέγιστο διάστημα έξι μηνών κάθε φορά.
Ωστόσο, ο περιορισμός των σχολίων μπορεί να επηρεάσει σημαντικά την ανάπτυξη ενός έργου, καθώς δεν θα επιτρέπει στους χρήστες να αναφέρουν σφάλματα ή προτάσεις.
Δείτε επίσης: 2023: 12 εκατ. ευαίσθητα δεδομένα διέρρευσαν στο GitHub
Το GitHub είναι μία πλατφόρμα που επιτρέπει την αποθήκευση κώδικα, την παρακολούθηση και τον έλεγχο των αλλαγών στον κώδικα, καθώς και την παροχή εργαλείων για τη διευκόλυνση της συνεργασίας μεταξύ των προγραμματιστών. Μια από τις βασικές λειτουργίες του GitHub είναι η δυνατότητα δημιουργίας αποθετηρίων (repositories) για την αποθήκευση και τη διαχείριση του κώδικα. Τα αποθετήρια μπορούν να είναι δημόσια ή ιδιωτικά και παρέχουν έναν τρόπο στους προγραμματιστές, ώστε να κρατούν τον κώδικά τους οργανωμένο και εύκολα προσβάσιμο. Το GitHub χρησιμοποιεί το σύστημα ελέγχου εκδόσεων Git, το οποίο επιτρέπει στους προγραμματιστές να παρακολουθούν και να ελέγχουν τις αλλαγές στον κώδικα.
Πηγή: bleepingcomputer