Спецпроекты

Безопасность

Странную особенность GitHub используют для распространения вредоносов. Они выглядят как легитимные файлы

GitHub позволяет подгружать любые файлы в секцию комментариев и присваивает им ссылки, из-за которых они выглядят так, будто являются частью официального репозитория. Хакеры уже начали этим пользоваться.

Ошибка или особенность

Злоумышленники начали использовать особенность (или возможную ошибку архитектуры GitHub), чтобы распространять вредоносы под видом легитимных файлов, якобы исходящих из репозиториев Microsoft.

Эксперты компании McAfee опубликовали на днях исследование нового загрузчика вредоносов, написанного на LUA. Этот вредонос распространялся, на первый взгляд, прямиком из репозиториев Microsoft в GitHub, относящихся к менеджеру библиотек C/С++ под Windows, Linux и MacOS, известному как vcpkg. Другим «источником» были репозитории библиотеки STL.

Как пишет издание Bleeping Computer, cсылки на инсталляторы вредоносных программ выглядели точно так, будто их источником были означенные репозитории.

Репозитории GitHub уязвимы к хакерским атакам из-за автоматического добавления ссылок в комментарии

Однако более тщательная проверка показала, что в действительности эти файлы были подгружены в секциях комментариев под обновлениями кода или жалобами на сбои.

Опасная ссылка

Пользователи GitHub имеют возможность подгружать архивы, документы и прочие файлы в комментарии; эти данные записываются в систему доставки контента GitHub и им присваивается уникальный URL-адрес в следующем формате.

Видео и изображения, в свою очередь, будут сохраняться с подссылкой /assets/ (активы).

GitHub автоматически генерирует и сохраняет ссылку на скачивание сразу после подгрузки файла в поле комментария, вне зависимости, опубликован этот комментарий или нет. Причём ссылка остаётся рабочей перманентно, файлы не удаляются.

А поскольку эта ссылка сразу же содержит название репозитория и наименование его владельца, у злоумышленников появляется возможность создавать очень убедительные фальшивки.

Например, выдавать вредоносы за обновления драйверов к видеокартам или новые версии программных пакетов, подсовывая их в комментарии в репозитории вендоров.

Самое же неприятное, что в GitHub, по утверждению авторов статьи в Bleeping Computer, отсутствуют инструменты управления файлами, подгруженными таким образом. Единственный способ предотвратить их подгрузку является отключение комментариев, но эта мера может быть лишь временной (максимум на полгода), а кроме того, при отсутствии комментариев другие пользователи не смогут сообщать об ошибках и предлагать новые функции.

Исследователь киберугроз Сергей Франков (Sergei Frankoff), сотрудник службы автоматизированного анализа вредоносов UNPACME, утверждает, что это уже не первая такая кампания; ранее тот же вредоносный загрузчик выдавался за версию читерской программы Aimmy.

21 апреля администраторы GitHub поудаляли вредоносные ссылки из репозиториев Microsoft, но не стали трогать репозитории Aimmy и пакета httprouter, в комментарии которого злоумышленники также подсунули архивы с вредоносной ссылкой.

«Этот механизм требует исправления: ситуация, при которой любой вредонос можно выдать за часть вашего легитимного кода - это полнейшая нелепица», - считает Анастасия Мельникова, директор по информационной безопасности компании SEQ.

По мнению эксперта, Microsoft стоило бы если не предоставить операторам репозиториев полного контроля над комментариями, то хотя бы реализовать механизм проверки подгружаемых файлов на вредоносность. Иначе велик риск «эпидемии» подобных кампаний, особенно сейчас, когда информация о них вышла в публичное поле.

Роман Георгиев

Короткая ссылка