GitHub abuzoi për të pritur malware dhe për të krijuar lidhje shkarkimi që në dukje janë të lidhura me Microsoft
Aktorët keqdashës po abuzojnë në mënyrë aktive logjikën e ngarkimit të skedarëve në komentet e GitHub për të pritur dhe përhapur malware. Malware mund të shpërndahet nëpërmjet lidhjeve të shkarkimit të gjeneruara automatikisht që përmbajnë emrin dhe pronarin e një depoje të përdorur për të krijuar URL-në.
Ironikisht, pikërisht në këtë mënyrë, Microsoft – pronari i platformës së zhvilluesve – u abuzua nga hakerat që krijuan një lidhje të rreme midis malware dhe kompanisë. Megjithatë, siç zbuloi hetimi i Bleeping Computer për këtë temë, çdo zhvillues ose kompani tjetër e besuar mund të abuzohet në të njëjtën mënyrë.
Ruajtja e kodit me qëllim të keq në shërbimet e njohura online nuk është një qasje e re. Sidoqoftë, mënyra se si hakerët abuzojnë me GitHub është mjaft krijuese.
Skedarët e ngarkuar duke përdorur veçorinë e komenteve ruhen në serverët e GitHub. Lidhjet e aksesit në ato skedarë po krijohen në kohë reale dhe ato përfshihen në konceptin e komentit pasi të ngarkohen me sukses.
Siç përshkroi në detaje Bleeping Computer, përdoruesi as nuk duhet të dërgojë komentin me një sugjerim ose raport të gabimeve. Skedari tashmë është ngarkuar, ruajtur dhe URL-ja e tij është në dispozicion të përdoruesit. URL-ja përmban emrin e depove nën të cilën është ngarkuar skedari, si dhe emrin e pronarit të depove.
Kjo logjikë e ngarkimit të skedarit mund t’i mashtrojë viktimat e mundshme që të mendojnë se po klikojnë në një lidhje të krijuar ose të lidhur me një zhvillues të besueshëm të caktuar.
Aktualisht, nuk ka asnjë rrugëdalje që zhvilluesit të mbrohen nga këto fushata keqdashëse, përveç çaktivizimit të përkohshëm të komenteve në depot e tyre – që është, padyshim, larg nga zgjidhja ideale, pasi kufizon aspektin bashkëpunues të platformës së zhvilluesve.
Në reagim ndaj raportit të Bleeping Computer, GitHub ka hequr malware-in në dukje të lidhur me Microsoft-in, megjithëse disa fushata të tjera malware mbetën të aksesueshme.
Testet e vetë Neowin për sjelljen e platformës tregojnë se logjika e ngarkimit të skedarëve nuk ka ndryshuar ende. GitHub nuk ofroi ndonjë koment publik mbi temën që do të tregonte nëse planifikon të bëjë ndryshime fare.