GitHub sfruttato per ospitare malware e creare link di download apparentemente affiliati a Microsoft
Attori malintenzionati stanno attivamente abusando della logica di caricamento file nei commenti di GitHub per ospitare e diffondere malware.
Il malware può essere distribuito tramite link di download generati automaticamente che contengono il nome e il proprietario di un repository utilizzato per creare l’URL.
Ironicamente, proprio in questo modo, Microsoft – il proprietario della piattaforma per sviluppatori – è stato abusato da hacker che hanno creato una falsa affiliazione tra il malware e l’azienda.
Tuttavia, come ha scoperto l’indagine di Bleeping Computer sull’argomento, qualsiasi altro sviluppatore o azienda fidata può essere abusato allo stesso modo.
Memorizzare codice maligno in servizi online popolari non è un approccio nuovo. Tuttavia, il modo in cui gli hacker abusano di GitHub è piuttosto creativo.
I file caricati utilizzando la funzione di commento sono memorizzati sui server di GitHub. I link di accesso a quei file vengono creati in tempo reale e vengono inclusi nel concetto del commento una volta caricati con successo.
Come descritto dettagliatamente da Bleeping Computer, l’utente non deve nemmeno inviare il commento con una proposta o un report di bug. Il file è già caricato, memorizzato e il suo URL è disponibile per l’utente.
L’URL contiene il nome del repository sotto il quale è stato caricato il file, così come il nome del proprietario del repository.
Questa logica di caricamento file può ingannare potenziali vittime facendo loro credere di cliccare su un link creato o affiliato a un particolare sviluppatore fidato.
Attualmente, non c’è alcun workaround per gli sviluppatori per proteggersi da queste campagne malevole se non disattivare temporaneamente i commenti nei loro repository, il che ovviamente è lontano dall’essere la soluzione ideale, poiché limita l’aspetto collaborativo della piattaforma per sviluppatori.
In reazione al report di Bleeping Computer, GitHub ha rimosso il malware apparentemente affiliato a Microsoft, sebbene alcune altre campagne di malware siano rimaste accessibili.
I test di Neowin sulla piattaforma non mostrano ancora cambiamenti nella logica di caricamento file. GitHub non ha offerto alcun commento pubblico sull’argomento che indichi se ha intenzione di apportare cambiamenti in futuro.