网络第5域

GitHub评论功能被用来冒充微软托管恶意软件 暂时还未解决问题

字号+作者: 来源:蓝点网 2024-04-22 14:00 评论(创建话题) 收藏成功收藏本文

GitHub是全球最大的代码托管平台,全球各地的科技公司和开发者们在上面托管项目或源代码,项目维护者也可以开启评论功能让其他开发者提交建议或反馈问题。'...

GitHub是全球最大的代码托管平台,全球各地的科技公司和开发者们在上面托管项目或源代码,项目维护者也可以开启评论功能让其他开发者提交建议或反馈问题。不过目前GitHub被发现了一个严重的设计问题,有攻击者利用项目评论功能冒充微软等公司来分发恶意软件,并且这种情况已经持续有一段时间了。UZv品论天涯网

UZv品论天涯网

UZv品论天涯网

为什么说是设计问题:UZv品论天涯网

以微软托管在GitHub上的vcpkg项目为例,这个项目开启了issues反馈,用户提交一个新的issue后其他用户可以在下面评论。UZv品论天涯网

评论功能支持附带文件,例如当上传一个名为Cheat.Lab.2.7.2.zip的文件时,GitHub将会这个文件生成永久URL并附加在vcpkg项目下。UZv品论天涯网

即便用户删除评论这个文件也会被保留下来并继续提供永久访问,甚至用户都不需要真提交评论,直接上传文件就好了。UZv品论天涯网

这样这个恶意文件就可以通过https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip下载。UZv品论天涯网

由于这个地址看起来就像是微软官方的文件,因此在一些场合中更容易钓鱼,这也是为什么黑客看中GitHub这个功能并进行滥用的原因。UZv品论天涯网

项目所有者不知情:UZv品论天涯网

正如上文提到的那样,上传一个文件不用真发布评论,或者发布后立即删除就可以获取这个文件的永久链接,而项目的维护者是不知道自己的项目路径下还存在这种恶意软件的。UZv品论天涯网

从某些方面来说这可能也会对一些公司的声誉造成影响,问题是这个问题还不太容易解决,因为它属于GitHub的设计问题,GitHub显然不能一刀切直接关闭这个功能。UZv品论天涯网

所以后续GitHub如何解决问题还是个难题,可能需要专门新建一个临时文件路径来托管这些文件,这样不影响使用但也不会托管在其他路径下。UZv品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]