Atacantes têm estado a tirar partido de uma falha no GitHub e GitLab, que permite distribuir malware com URLs aparentemente legítimos que podem convencer as vítimas de que se trata de programas de confiança.
Se alguém partilhasse um ficheiro que tivesse um link como os que se seguem, seria bastante provável que lhe atribuíssem um valor relativamente elevado de credibilidade.
https://github[.]com/microsoft/vcpkg/files/...https://github[.]com/microsoft/STL/files/...
A falha, que afecta o GitHub e também o GitLab deve-se à forma como estas plataformas gerem os comentários. Quando alguém deixa um comentário com um ficheiro anexado, a plataforma cria um endereço virtual para esse conteúdo que indica estar associado à página de projecto onde foi feito.
Aliás, os responsáveis pelos repositórios não têm, por agora, qualquer forma de evitar esta situação a não ser desactivar os comentários por completo - uma opção radical que também teria impacto negativo a nível de comentários legítimos e contribuidores para o projecto.
Por agora as plataformas têm estado a remover o malware que vai sendo reportado, caso a caso, mas será inevitável que tenham que arranjar uma solução mais adequada antes que comecem a ser inundados por malware em larga escala. Uma solução simples e rápida será simplesmente atribuir um URL diferente aos anexos dos comentários, como
https://github[.]com/comments/files/..., que revelaria desde logo a origem do ficheiro, evitando a associação a qualquer empresa ou projecto de forma enganadora.
Sem comentários:
Enviar um comentário (problemas a comentar?)