Kwaadwillige actoren maken actief misbruik van de logica voor het uploaden van bestanden in GitHub-opmerkingen om malware te hosten en te verspreiden. Malware kan worden verspreid via automatisch gegenereerde downloadlinks die de naam en de eigenaar bevatten van de repository die is gebruikt om de URL te maken.
Ironisch genoeg werd Microsoft – eigenaar van het ontwikkelaarsplatform – op precies deze manier misbruikt door hackers die een valse associatie creëerden tussen de malware en het bedrijf. Maar als Onderzoek computerbloedingen In de onthulde kwestie zou elke andere vertrouwde ontwikkelaar of bedrijf op dezelfde manier kunnen worden misbruikt.
Het opslaan van kwaadaardige code in populaire onlinediensten is geen nieuwe tactiek. De manier waarop hackers GitHub misbruiken is echter nogal innovatief.
Bestanden die zijn geüpload met behulp van de commentaarfunctie worden opgeslagen op de servers van GitHub. Links voor toegang tot deze bestanden worden in realtime gegenereerd en worden opgenomen in het commentaarconcept zodra ze succesvol zijn geüpload.
Zoals beschreven in Bleeping Computer hoeft de gebruiker niet eens een opmerking met een suggestie of bugrapport in te dienen. Het bestand is al geüpload en opgeslagen en de URL is beschikbaar voor de gebruiker. De URL bevat de naam van de repository waaruit het bestand is geüpload, evenals de naam van de eigenaar van de repository.
Deze logica voor het uploaden van bestanden kan potentiële slachtoffers doen denken dat ze op een link klikken die is gemaakt door of toebehoort aan een specifieke, vertrouwde ontwikkelaar.
Momenteel is er geen andere oplossing voor ontwikkelaars om zichzelf tegen deze kwaadaardige campagnes te beschermen dan het onderbreken van reacties in hun opslagplaatsen – wat natuurlijk verre van ideaal is, omdat het het samenwerkingsaspect van het ontwikkelaarsplatform beperkt.
In reactie op het Bleeping Computer-rapport verwijderde GitHub malware die van Microsoft leek te komen, hoewel er nog enkele andere malwarecampagnes beschikbaar bleven.
Neowin's eigen tests van het gedrag van het platform laten zien dat de logica voor het uploaden van bestanden nog niet is veranderd. GitHub heeft geen enkele openbare opmerking over het onderwerp gemaakt die aangeeft of het überhaupt van plan is wijzigingen aan te brengen.
“Bekroonde schrijver. Social media-specialist. Introvert. Ongeneeslijke twitterfan. Organisator. Fervent popcultuurliefhebber.”