Nuove frontiere per la diffusione dei malware: ecco l’attacco mediante… Commenti di GitHub!

Vi ricordate di quando non molto tempo fa abbiamo parlato dei centomila repository infetti su GitHub per via di una campagna di malicious repo confusion? Bene, una nuova puntata si aggiunge alla saga, attraverso un attore del tutto inaspettato, almeno finché non si legge la sceneggiatura. Stiamo parlando dei commenti.

Se sia una falla vera e propria o banalmente un’inconsistenza di design, come racconta Bleeping Computer, non è dato di saperlo, ma il problema è reale: è infatti possibile per un malintenzionato utilizzare la funzione che consente di caricare file allegati ai propri commenti e fare in modo che questi appaiano in qualche modo legittimi.

Come? Semplice, perché la url del malware è composta dal legittimo indirizzo github.com, da una organizzazione e da un progetto altrettanto legittimi come microsoft/vcpkg e poi dell’altro, che però ad un utente distratto potrebbe risultare ininfluente per legittimare quello che sta facendo.

Peccato che il risultato finale è stato rilevato essere qualcosa di simile a:

github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip
github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip

Gli indirizzi qui sopra sono generati da utenti che commentano issue dei progetti in questione che, tornando alla falla o al by-design di cui sopra, vengono composti secondo questo schema:

github[.]com/{project_user}/{repo_name}/files/{file_id}/{file_name}

e la cosa non riguarda solo i file, poiché per immagini e video verrà generato una url del tutto simile che però anziché /files/ avrà /assets/.

La cosa più interessante, per così dire? Una volta che i file vengono caricati e ricevono la lor url anche se il commento non viene postato, il file rimane.

Il circo che deriva da questa “feature” non è nemmeno da raccontare, se infatti la repo confusion aveva provocato milioni di infezioni, in questo caso è tutto molto, molto più semplice.

L’unica buona notizia che Bleeping Computer da è che i repository su cui questa problematica è stata rilevata sono solo due. Ma stiamo parlando solo di Cheat.Lab.2.7.2.zip e Cheater.Pro.1.6.0.zip, che è uno specifico malware su cui si stava indagando.

Ma potete immaginare come il limite su una falla simile, che al momento solo i responsabili dei repository sono in grado di limitare rimuovendo i commenti sospetti, sia il cielo.

Check your downloads!

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

2 risposte a “Nuove frontiere per la diffusione dei malware: ecco l’attacco mediante… Commenti di GitHub!”

  1. Avatar Shiba
    Shiba

    Una volta che i file vengono caricati e ricevono la lor url anche se il commento non viene postato, il file rimane.

    Momento confessione: sono anni che grazie a questa “feature” sfrutto GitHub come servizio di file sharing. Immagino che ora la pacchia sia finita :p

  2. Avatar Raoul Scarazzini

    Poliziaaaaaaaa! 😀

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *