Платформа GitHub подтвердила, что злоумышленники распространяют вредоносное ПО, используя лазейку в системе.
Способ применяется не только в отношении репозитория Microsoft, но и для других общедоступных репозиториев на GitHub. Это стало известно после того, как в McAfee опубликовали отчет о новом загрузчике вредоносного ПО LUA, распространяемом через законный репозиторий Microsoft GitHub для библиотек C++ в Windows, Linux и MacOS, известном как vcpkg.
Пользователи GitHub могут прикрепить файлы к комментариям, которые потом загружаются в CDN GitHub и связываются с соответствующим проектом. При этом GitHub автоматически генерирует ссылки для скачивания после публикации комментария. Это дает возможность злоумышленникам прикреплять вредоносное ПО к любому репозиторию без ведома владельцев. Например, злоумышленник может загрузить исполняемый файл вредоносного ПО в репозиторий установщика драйверов Nvidia или файл в комментарии к исходному коду Google Chromium. Даже если владелец репозитория узнает о распространении вредоносного ПО, у него нет инструментов, чтобы удалить эти файлы.
Отмечается, что это может существенно повлиять на развитие проекта.
Мы в VK: https://vk.com/darkwebex
