Комментарии в GitHub используют для распространения вредоносов через URL-адреса репозитория Microsoft

Злоумышленники используют в GitHub лазейку для распространения вредоносного ПО с помощью URL-адресов, связанных с репозиторием Microsoft. Аналогичный способ может применяться в любом общедоступном репозитории на GitHub.

Ранее в McAfee опубликовали отчёт о новом загрузчике вредоносного ПО LUA, распространяемом через законный репозиторий Microsoft GitHub менеджера библиотек C++ для Windows, Linux и MacOS, известного как vcpkg. Исследователи привели примеры таких URL-адресов установщиков вредоносного ПО, ссылки на которые отсутствуют в исходном коде проекта:

https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip,

https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip.

В BleepingComputer обнаружил, что файлы не являются частью vcpkg, а были загружены как часть комментария, оставленного к коммиту или описывающего проблему в проекте.

Оставляя комментарий, пользователь GitHub может прикрепить файл, который будет загружен в CDN GitHub и связан с соответствующим проектом, используя уникальный URL-адрес в следующем формате: 'https://www.github.com/{project_user}/{ repo_name}/files/{file_id}/{file_name}.'

Вместо создания URL-адреса после публикации комментария GitHub автоматически генерирует ссылку для скачивания. Это позволяет злоумышленникам прикреплять вредоносное ПО к любому репозиторию без ведома владельцев. Даже если оставить комментарий в черновике или удалить его после публикации, то файлы сохраняются в CDN GitHub, а URL-адреса загрузки продолжают работать вечно. Поскольку URL-адрес файла содержит имя репозитория, в котором он был создан, то он выглядит как заслуживающий доверия.

Например, злоумышленник может загрузить исполняемый файл вредоносного ПО в репозиторий установщика драйверов Nvidia,