Nhận xét trên GitHub bị lạm dụng để phát tán phần mềm độc hại
Một lỗ hổng tồn tại trên GitHub đang bị các tác nhân đe dọa lợi dụng để phát tán phần mềm độc hại bằng cách sử dụng các URL được liên kết với kho lưu trữ của Microsoft. Lỗ hổng này có thể bị lạm dụng với bất kỳ kho lưu trữ công khai nào trên GitHub, cho phép kẻ tấn công tạo ra những mồi nhử lừa đảo trông rất tin cậy để đánh lừa người dùng.
Mới đây, hãng bảo mật McAfee đã công bố một báo cáo về trình tải phần mềm độc hại LUA mới được phân phối thông qua kho lưu trữ Microsoft GitHub hợp pháp cho Trình quản lý thư viện C++ cho Windows, Linux và MacOS, được gọi là vcpkg và thư viện STL.
Các URL của trình cài đặt phần mềm độc hại bao gồm:
https://github[.]com/microsoft/vcpkg/files/14125503/Cheat[.]Lab[.]2[.]7[.]2[.]zip
https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro[.]1[.]6[.]0[.]zip
Cảm thấy kỳ lạ khi một kho lưu trữ của Microsoft lại phân phối phần mềm độc hại kể từ tháng 02/2024, trang BleepingComputer đã tiến hành phân tích và phát hiện ra rằng các tệp này không phải là một phần của vcpkg mà được tải lên (upload) như một phần của ghi chú để lại về một cam kết hoặc vấn đề trong dự án (project).
Khi để lại ghi chú, người dùng GitHub có thể đính kèm một tệp (kho lưu trữ, tài liệu,…), tệp này sẽ được tải lên CDN của GitHub và được liên kết với dự án liên quan bằng một URL duy nhất ở định dạng này như sau: https://www[.]github[.] com/{project_user}/{repo_name}/files/{file_id}/{file_name}. Đối với video và hình ảnh, các tệp tin sẽ được lưu trữ dưới dạng đường dẫn /assets/.
Thay vì tạo URL sau khi bình luận được đăng, GitHub sẽ tự động tạo liên kết tải xuống sau khi người dùng thêm tệp vào bình luận chưa được lưu, như hiển thị trong Hình 1. Điều này cho phép các tác nhân đe dọa đính kèm phần mềm độc hại vào bất kỳ kho lưu trữ nào.
Liên kết tải xuống được tạo tự động khi thêm tệp vào phần nhận xét.
Ngay cả khi người dùng quyết định không đăng bình luận hoặc xóa đi sau khi được đăng, các tệp sẽ không bị xóa khỏi CDN của GitHub và các URL tải xuống vẫn tiếp tục hoạt động.
Vì URL của tệp chứa tên của kho lưu trữ mà ghi chú được tạo trong đó và vì hầu hết mọi công ty phần mềm đều sử dụng GitHub, nên lỗ hổng này có thể cho phép các tác nhân đe dọa phát triển những chiêu trò cực kỳ xảo quyệt để đánh lừa người dùng.
Ví dụ, kẻ tấn công có thể tải lên một phần mềm độc hại thực thi được trong kho trình cài đặt trình điều khiển của NVIDIA, mạo danh là trình điều khiển mới khắc phục sự cố trong một trò chơi phổ biến, hoặc kẻ tấn công có thể tải tệp trong ghi chú lên mã nguồn Google Chrome và mạo danh đó là phiên bản thử nghiệm mới của trình duyệt web. Những URL này dường như cũng thuộc về kho lưu trữ của công ty, khiến chúng trở nên đáng tin cậy hơn nhiều.
Hiện tại, GitHub đã xóa phần mềm độc hại được liên kết với kho lưu trữ của Microsoft.
Theo Tạp chí An toàn thông tin