Mặc dù hầu hết hoạt động của phần mềm độc hại đều dựa trên URL Microsoft GitHub, nhưng vấn đề này có thể bị lạm dụng với bất kỳ kho lưu trữ công khai nào trên GitHub.
Lạm dụng tính năng bình luận của GitHub
McAfee vừa công bố một báo cáo về trình tải phần mềm độc hại dựa trên LUA mới đang được phân phối thông qua kho lưu trữ GitHub hợp pháp của Microsoft cho “Chương trình quản lý thư viện C++ cho Windows”. , Linux và MacOS”, được gọi là vcpkg.
Các URL liên kết với trình cài đặt phần mềm độc hại được liệt kê bên dưới cho biết rằng chúng thuộc về kho lưu trữ của Microsoft nhưng chúng không có bất kỳ tham chiếu nào đến các tệp trong mã nguồn của dự án.
– https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip
– https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip
Các liên kết độc hại đến mã độc đã xuất hiện từ tháng 2, BleepingComputer phát hiện ra rằng các tệp này không phải là một phần của vcpkg mà được tải lên như một phần bình luận trong dự án.
Khi để lại nhận xét, người dùng GitHub có thể đính kèm một tệp (kho lưu trữ, tài liệu, v.v.), tệp này sẽ được tải lên CDN của GitHub và được liên kết với dự án có liên quan bằng một URL có định dạng nhận dạng: 'https://www.github. com/{project_user}/{repo_name}/files/{file_id}/{file_name}'.
Thay vì tạo URL sau khi bình luận được đăng, GitHub tự động tạo liên kết tải xuống sau khi tệp được thêm vào bình luận chưa được lưu. Điều này cho phép các tác nhân đe dọa đính kèm phần mềm độc hại của chúng vào bất kỳ kho lưu trữ nào mà chủ sở hữu của nó không hề hay biết.
Ngay cả khi các bình luận không được đăng hoặc đã bị xóa, các tệp sẽ không bị xóa khỏi CDN của GitHub và các URL tải xuống sẽ tiếp tục hoạt động.
Vì URL tệp chứa tên kho lưu trữ mà nhận xét được tạo và hầu hết mọi công ty phần mềm đều sử dụng GitHub nên lỗ hổng này có thể cho phép các tác nhân đe dọa lạm dụng nó để thực hiện các cuộc tấn công độc hại. các hoạt động lừa đảo tinh vi nhằm lừa người dùng tải mã độc.
Kẻ đe dọa có thể tải một phần phần mềm độc hại lên kho lưu trữ của NVIDIA, giả dạng trình điều khiển mới giải quyết vấn đề trong một trò chơi phổ biến hoặc tải tệp trong nhận xét lên mã nguồn Google Chrome và giả mạo nó. form là phiên bản thử nghiệm mới của trình duyệt web.
Ngay cả khi một công ty phát hiện kho lưu trữ của họ đang bị lạm dụng để phát tán mã độc, cũng không có bất kỳ cài đặt nào cho phép người dùng quản lý các tệp đính kèm trong dự án của họ.
Bạn chỉ có thể bảo vệ tài khoản GitHub của mình khỏi bị lạm dụng bằng cách không cho phép nhận xét. Theo tài liệu hỗ trợ của GitHub, bạn chỉ có thể tạm thời vô hiệu hóa nhận xét trong tối đa sáu tháng một lần.
Tuy nhiên, việc hạn chế nhận xét có thể ảnh hưởng đáng kể đến việc phát triển dự án vì nó sẽ không cho phép người dùng báo cáo lỗi hoặc đưa ra đề xuất.
Sergei Frankoff, thuộc dịch vụ phân tích phần mềm độc hại tự động UNPACME, đã phát biểu trên Twitch về vấn đề này vào tháng trước, cho biết các tác nhân đe dọa đang ngày càng lạm dụng nó.
Frankoff cho biết họ đã phát hiện ra một chiến dịch tương tự vào tháng 3 bằng cách sử dụng cùng một trình tải phần mềm độc hại LUA, được gọi là SmartLoader, được ngụy trang dưới dạng phần mềm gian lận Aimmy.
BleepingComputer cũng phát hiện một kho lưu trữ khác của Microsoft là httprouter đang bị khai thác để phát tán phần mềm độc hại trong file “Cheater.Pro.1.6.0.zip” theo cách này. BleepingComputer đã liên hệ với GitHub và Microsoft về hành vi lạm dụng này nhưng chưa nhận được phản hồi từ họ.
Tại thời điểm xuất bản, phần mềm độc hại đánh cắp thông tin vẫn đang được phân phối thông qua các liên kết đến kho lưu trữ GitHub của Microsoft.
Để giảm thiểu rủi ro, người dùng phải luôn cảnh giác khi tải xuống/cài đặt ứng dụng/phần mềm mới ngay cả khi nó liên kết đến một nguồn đáng tin cậy, đảm bảo rằng tệp đã tải xuống thực sự thuộc về một dự án đáng tin cậy trước khi thực hiện bất kỳ hành động nào khác.
Link nguồn: https://cafef.vn/lo-hong-github-dang-bi-lam-dung-de-phat-tan-ma-doc-188240424072812471.chn