JAKARTA - GitHub et GitLab sont des plateformes de développement logiciels où les développeurs peuvent télécharger leurs codes, et d’autres développeurs peuvent offrir des ajouts, des améliorations ou même créer des forks alternatifs de l’application.
Si un utilisateur trouve un bug dans une application, il peut le signaler au développeur en créant un rapport de problèmes. Ensuite, d’autres utilisateurs peuvent confirmer ce problème dans les commentaires.
Si nécessaire, vous pouvez joindre des fichiers aux commentaires, tels que des captures d’écran qui affichent des erreurs ou des documents qui font grève des applications.
Cependant, GitHub a une caractéristique unique, selon laquelle si un utilisateur a un commentaire et télécharge le fichier qui l’accompagne, mais ne clique pas sur « Publier », l’information reste « piégée » dans le projet et ne sera pas visible par les propriétaires de l’application et d’autres utilisateurs de GitHub.
Cependant, le lien direct vers le fichier téléchargé dans les commentaires reste disponible et fonctionne pleinement, toute personne qui le suive recevra des fichiers du CDN GitHub.
Grâce à la possibilité de publier des fichiers étrangers sur des liens contenant le mot GitHub sous des noms de développeurs célèbres et des projets populaires, les cybercriminels ont la possibilité de mener des attaques de phishing.
Kaspersky a réussi à trouver une campagne malveillante, dans laquelle les chercheurs ont vu des « commentaires », qui contenaient prétendument des applications frauduleuses pour les jeux, dans le repository de Microsoft.
“Pengguna yang waspada mungkin bertanya-tanya mengapa cheat gim ada di repositori Microsoft: https://github{.}com/microsoft/vcpkg/files/…../Cheat.Lab.zip. Namun kemungkinan besar kata kunci “GitHub” dan “Microsoft” akan meyakinkan korban, sehingga mereka tidak akan mengkhawatirkan tautan tersebut lebih jauh,” kata perusahaan keamanan siber itu.
Pendant ce temps, le propriétaire du dépôt où le fichier est publié dans les commentaires ne peut pas le supprimer ou le blocer. Ils ne le savaient même pas.
« Les pirates informatiques plus intelligents peuvent sécuriser les logiciels malveillants de manière plus soigneuse, par exemple en le présentant comme une nouvelle version d’une application distribuée via GitHub ou GitLab et en publiant des liens via des « commentaires » dans l’application. »
La seule solution serait de désactiver complètement les commentaires (sur GitHub, vous pouvez le faire pendant jusqu’à six mois), mais cela supprime les commentaires des développeurs.
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
