桑間濮上網(wǎng)GitHub評論功能被用來冒充微軟托管惡意軟件 暫時還未解決問題 – 藍(lán)點(diǎn)網(wǎng)
GitHub 是評論全球最大的代碼托管平臺,全球各地的被用科技公司和開發(fā)者們在上面托管項(xiàng)目或源代碼,項(xiàng)目維護(hù)者也可以開啟評論功能讓其他開發(fā)者提交建議或反饋問題。冒充杭州臨安區(qū)哪里可以找到小姐服務(wù)[微信1662+044-1662][提供外圍女上門服務(wù)快速安排面到付款不收定金
不過目前 GitHub 被發(fā)現(xiàn)了一個嚴(yán)重的微軟問題網(wǎng)設(shè)計(jì)問題,有攻擊者利用項(xiàng)目評論功能冒充微軟等公司來分發(fā)惡意軟件,托管并且這種情況已經(jīng)持續(xù)有一段時間了。惡意
為什么說是設(shè)計(jì)問題:
以微軟托管在 GitHub 上的 vcpkg 項(xiàng)目為例,這個項(xiàng)目開啟了 issues 反饋,解決用戶提交一個新的藍(lán)點(diǎn)杭州臨安區(qū)哪里可以找到小姐服務(wù)[微信1662+044-1662][提供外圍女上門服務(wù)快速安排面到付款不收定金 issue 后其他用戶可以在下面評論。
評論功能支持附帶文件,評論例如當(dāng)上傳一個名為 Cheat.Lab.2.7.2.zip 的被用文件時,GitHub 將會這個文件生成永久 URL 并附加在 vcpkg 項(xiàng)目下。冒充
即便用戶刪除評論這個文件也會被保留下來并繼續(xù)提供永久訪問,微軟問題網(wǎng)甚至用戶都不需要真提交評論,托管直接上傳文件就好了。惡意
這樣這個惡意文件就可以通過 https://github [.] com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip 下載。
由于這個地址看起來就像是微軟官方的文件,因此在一些場合中更容易釣魚,這也是為什么黑客看中 GitHub 這個功能并進(jìn)行濫用的原因。
項(xiàng)目所有者不知情:
正如上文提到的那樣,上傳一個文件不用真發(fā)布評論,或者發(fā)布后立即刪除就可以獲取這個文件的永久鏈接,而項(xiàng)目的維護(hù)者是不知道自己的項(xiàng)目路徑下還存在這種惡意軟件的。
從某些方面來說這可能也會對一些公司的聲譽(yù)造成影響,問題是這個問題還不太容易解決,因?yàn)樗鼘儆?GitHub 的設(shè)計(jì)問題,GitHub 顯然不能一刀切直接關(guān)閉這個功能。
所以后續(xù) GitHub 如何解決問題還是個難題,可能需要專門新建一個臨時文件路徑來托管這些文件,這樣不影響使用但也不會托管在其他路徑下。
