恶意行为者正积极滥用 GitHub 注释中的文件上传逻辑来托管和传播恶意软件。恶意软件可以通过自动生成的下载链接传播,这些链接包含用于创建 URL 的版本库名称和所有者。
具有讽刺意味的是,微软--开发者平台的所有者--正是以这种方式被黑客滥用,他们在恶意软件和公司之间制造了虚假的从属关系。然而,正如 Bleeping Computer 对该主题的调查所发现的那样,任何其他可信的开发者或公司都可能以同样的方式被滥用。
在流行的在线服务中存储恶意代码并不是什么新奇的方法。然而,黑客滥用 GitHub 的方式却颇具创意。
使用评论功能上传的文件存储在 GitHub 的服务器上。这些文件的访问链接是实时创建的,一旦上传成功,它们就会包含在评论的概念中。
正如 Bleeping Computer 详细描述的那样,用户甚至不需要发送带有建议或错误报告的评论。文件已经上传、存储,其 URL 也可供用户使用。URL 中包含上传文件的版本库名称以及版本库所有者的名称。
这种文件上传逻辑会欺骗潜在受害者,让他们以为自己点击的是某个可信开发者创建或附属的链接。
目前,开发者除了暂时关闭其资源库中的评论外,还没有其他办法来保护自己免受这些恶意活动的攻击,这显然不是理想的解决方案,因为它限制了开发者平台的协作性。
针对 Bleeping Computer 的报告,GitHub 已经删除了似乎隶属于微软的恶意软件,但仍可访问其他一些恶意软件。
Neowin 自己对平台行为的测试表明,文件上传逻辑尚未改变。GitHub 没有就此发表任何公开评论,也没有说明它是否计划做出任何改变。
![[WIN] VirtualBox 7.1.0 Beta 1](https://www.pcsofter.com/wp-content/uploads/2018/05/2023011010064255.jpg)
