警惕! 卡巴斯基在 GitHub 和 GitLab 链接中发现隐藏的恶意软件

雅加达 - GitHub 和 GitLab 是软件开发平台,开发者可以上传代码,其他开发者可以提供添加,修复甚至创建应用程序的替代版本的分叉。

用户在应用中发现错误,则可以通过创建问题报告向开发者报告。然后,其他用户可以在评论中确认此问题。

必要时,您可以将文件附加到评论中,例如显示错误的屏幕截图或使应用程序故障的文档。

但是,GitHub 有一项特性,如果用户有评论并上传附有文件但未单击“发布”,则该信息仍将“困在”草案中,并且不会被应用程序所有者和其他 GitHub 用户看到。

但是,评论中上传的文件的直接链接仍然存在并完全正常工作,任何遵循该链接的人都将收到GitHub CDN的文件。

凭借在带有GitHub字词的链接中以领先的开发者名称和受欢迎的项目发布外部文件的能力,网络犯罪分子有机会带来网络钓鱼攻击。

卡巴斯基成功地发现了一项恶意活动,研究人员在微软的存档库中查看了“评论”,据称其中包含游戏的欺诈性应用程序。

“Pengguna yang waspada mungkin bertanya-tanya mengapa cheat gim ada di repositori Microsoft: https://github{.}com/microsoft/vcpkg/files/…../Cheat.Lab.zip. Namun kemungkinan besar kata kunci “GitHub” dan “Microsoft” akan meyakinkan korban, sehingga mereka tidak akan mengkhawatirkan tautan tersebut lebih jauh,” kata perusahaan keamanan siber itu.

同时,在评论中发布此文件的备份的所有者无法将其删除或阻止。他们甚至不知道。

“更智能的网络攻击者可能会更谨慎地伪装恶意软件,例如,通过GitHub或GitLab分发的应用程序的新版本显示它们,并通过应用程序中的”评论“发布链接。

唯一的解决方案是完全禁用评论(在 GitHub 上,您最多可以使用六个月),但这将消除开发人员的反馈。