Bagikan:

JAKARTA - GitHub dan GitLab merupakan platform pengembangan perangkat lunak, di mana pengembang dapat mengunggah kodenya, dan pengembang lain dapat menawarkan penambahan, perbaikan, atau bahkan membuat fork versi alternatif dari aplikasi. 

Jika pengguna menemukan bug di suatu aplikasi, mereka dapat melaporkannya ke pengembang dengan membuat laporan masalah. Dan kemudian, pengguna lain dapat mengonfirmasi masalah ini di komentar. 

Jika perlu, Anda dapat melampirkan file ke komentar, seperti tangkapan layar yang menunjukkan kesalahan atau dokumen yang membuat aplikasi mogok.

Namun, GitHub memiliki satu kekhasan, di mana jika pengguna memiliki komentar dan mengunggah file yang menyertainya, namun tidak mengklik “Terbitkan”, informasi tersebut akan tetap “terjebak” dalam draf, dan tidak terlihat oleh pemilik aplikasi dan pengguna GitHub lainnya. 

Namun demikian, tautan langsung ke file yang diunggah di komentar tetap ada dan berfungsi penuh, siapa pun yang mengikutinya akan menerima file dari CDN GitHub.

Berkat kemampuan untuk mempublikasikan file asing di tautan yang berisi kata GitHub dengan nama pengembang terkemuka dan proyek populer, penjahat dunia maya diberikan kesempatan untuk membawa serangan phishing

Kaspersky berhasil menemukan kampanye berbahaya, di mana para peneliti melihat “komentar”, yang diduga berisi aplikasi cheat untuk gim, terdapat di repositori Microsoft.

“Pengguna yang waspada mungkin bertanya-tanya mengapa cheat gim ada di repositori Microsoft: https://github{.}com/microsoft/vcpkg/files/…../Cheat.Lab.zip. Namun kemungkinan besar kata kunci “GitHub” dan “Microsoft” akan meyakinkan korban, sehingga mereka tidak akan mengkhawatirkan tautan tersebut lebih jauh,” kata perusahaan keamanan siber itu. 

Sementara itu, pemilik repositori tempat file ini diposting di komentar tidak dapat menghapus atau memblokirnya. Mereka bahkan tidak mengetahuinya. 

“Penjahat siber yang lebih cerdas mungkin menyamarkan malware secara lebih hati-hati, misalnya dengan menampilkannya sebagai versi baru aplikasi yang didistribusikan melalui GitHub atau GitLab dan memposting tautan melalui “komentar” di aplikasi tersebut.” sambungnya. 

Satu-satunya solusi adalah menonaktifkan komentar sepenuhnya (di GitHub, Anda dapat melakukan ini hingga enam bulan), tetapi hal ini akan menghilangkan feedback dari pengembang.