Un defect GitHub, sau posibil o decizie de design, este exploatat de actorii de amenințare pentru a distribui malware folosind URL-uri asociate cu un depozit Microsoft, făcând ca fișierele să pară de încredere.
În timp ce cea mai mare parte a activității malware s-a concentrat în jurul URL-urilor Microsoft GitHub, acest ‘defect’ ar putea fi exploatat cu orice depozit public de pe GitHub, permițând actorilor de amenințare să creeze capcane foarte convingătoare.
Ieri, McAfee a lansat un raport despre un încărcător malware LUA distribuit printr-un repo Microsoft GitHub care părea legitim pentru ‘Managerul de bibliotecă C++ pentru Windows, Linux și MacOS,’ cunoscut sub numele de vcpkg.
URL-urile pentru instalatoarele de malware, arătate mai jos, indică clar că acestea aparțin repo-ului Microsoft, dar nu am putut găsi nicio referință la fișiere în codul sursă al proiectului.
Găsind ciudat faptul că un repo Microsoft ar distribui malware din februarie, BleepingComputer a investigat și a descoperit că fișierele nu fac parte din vcpkg, ci au fost încărcate ca parte a unui comentariu lăsat la o comitere sau problemă în proiect.
Când lași un comentariu, un utilizator GitHub poate atașa un fișier, care va fi încărcat pe CDN-ul GitHub și asociat cu proiectul corespunzător folosind un URL unic în acest format: ‘https://www.github.com/{project_user}/{repo_name}/files/{file_id}/{file_name}.’
În loc să genereze URL-ul după ce este postat un comentariu, GitHub generează automat linkul de descărcare după ce adaugi fișierul la un comentariu nesalvat, cum este arătat mai jos. Acest lucru permite actorilor de amenințare să atașeze malware-ul lor la orice depozit fără ca aceștia să știe.
Chiar dacă decideți să nu postați comentariul sau să-l ștergeți după ce a fost postat, fișierele nu sunt șterse de pe CDN-ul GitHub, iar URL-urile de descărcare continuă să funcționeze pentru totdeauna.
Deoarece URL-ul fișierului conține numele repo-ului în care a fost creat comentariul și deoarece aproape fiecare companie de software folosește GitHub, acest defect poate permite actorilor de amenințare să dezvolte capcane extraordinar de iscusite și de încredere.
De exemplu, un actor de amenințare ar putea încărca un executabil malware în repo-ul de instalare a driverului NVIDIA care pretinde că este un nou driver care rezolvă probleme într-un joc popular. Sau un actor de amenințare ar putea încărca un fișier într-un comentariu la codul sursă Google Chromium și să pretindă că este o nouă versiune de test a browserului web.
Aceste URL-uri ar părea, de asemenea, că aparțin repo-urilor companiei, făcându-le mult mai de încredere.
În mod nefericit, chiar dacă o companie află că repo-urile lor sunt abuzate pentru a distribui malware, BleepingComputer nu a putut găsi nicio setare care să vă permită să gestionați fișierele atașate proiectelor dvs.
Mai mult, puteți proteja doar un cont GitHub să nu fie abuzat în acest fel și să vă păteze reputația dezactivând comentariile. Conform acestui document de suport GitHub, puteți dezactiva temporar comentariile pentru un maxim de șase luni la rând.
Cu toate acestea, restricționarea comentariilor poate afecta semnificativ dezvoltarea unui proiect, deoarece nu va permite utilizatorilor să raporteze erori sau sugestii.
Sergei Frankoff, de la serviciul de analiză automată a malware-ului UNPACME, a făcut un livestream pe Twitch despre această problemă chiar luna trecută, spunând că actorii de amenințare o exploatează activ.
Săptămâni mai târziu… Defectul GitHub continuă să distribuie malware pic.twittercom/s165zOAsoI
În cadrul cercetărilor noastre asupra acestei probleme, BleepingComputer a găsit doar un alt repo, httprouter, abuzat pentru a distribui malware în acest mod, și era același ‘CheaterPro160zip’ observat în URL-urile Microsoft.
Cu toate acestea, Frankoff a spus BleepingComputer că au descoperit o campanie similară în martie care folosește același malware LUA loader, numit SmartLoader, deghizat în software-ul de înșelăciune Aimmy.
Frankoff a spus BleepingComputer că SmartLoader este instalat în mod obișnuit alături de alte încărcături, cum ar fi malware-ul de furt de informații RedLine.
BleepingComputer a contactat atât GitHub, cât și Microsoft joi despre acest abuz, dar nu a primit niciun răspuns.
La momentul publicării acestui articol, malware-ul de furt de informații este încă distribuit prin linkuri asociate cu repo-ul Microsoft GitHub.
Capcane false atrag jucătorii în răspândirea malware-ului infostealer
Microsoft rezolvă două zero-day-uri Windows exploatate în atacuri malware
Proiecte malitioase Visual Studio pe GitHub distribuie malware Keyzetsu
Defect critic al modulului Forminator afectează peste 300k site-uri WordPress
Salvați 230 $ din Microsoft Visio Professional 2021 în această vânzare flash
Leave a Reply