Uma falha no GitHub, ou possivelmente uma decisão de design, está sendo explorada por atores de ameaças para distribuir malware usando URLs associadas a um repositório da Microsoft, fazendo com que os arquivos pareçam confiáveis.
Embora a maioria das atividades de malware tenha sido baseada em torno das URLs do GitHub da Microsoft, essa "falha" poderia ser explorada com qualquer repositório público no GitHub, permitindo que os atores de ameaças criem iscas muito convincentes.
Ontem, a McAfee divulgou um relatório sobre um novo carregador de malware LUA distribuído por meio do que parecia ser um repositório legítimo do Microsoft GitHub para o "C++ Library Manager para Windows, Linux e MacOS", conhecido como vcpkg.
As URLs para os instaladores de malware, mostradas abaixo, indicam claramente que pertencem ao repositório da Microsoft, mas não conseguimos encontrar nenhuma referência aos arquivos no código-fonte do projeto.
Achando estranho que um repositório da Microsoft estivesse distribuindo malware desde fevereiro, o BleepingComputer investigou e descobriu que os arquivos não fazem parte do vcpkg, mas foram carregados como parte de um comentário deixado em um commit ou issue no projeto.
Ao deixar um comentário, um usuário do GitHub pode anexar um arquivo, que será carregado para o CDN do GitHub e associado ao projeto relacionado usando uma URL única neste formato: 'https://www.github.com/{project_user}/{repo_name}/files/{file_id}/{file_name}.'
Em vez de gerar a URL após um comentário ser postado, o GitHub automaticamente gera o link para download após você adicionar o arquivo a um comentário não salvo, como mostrado abaixo.
Isso permite que atores de ameaças anexem seu malware a qualquer repositório sem que eles saibam.
Mesmo que você decida não postar o comentário ou deletá-lo depois de postado, os arquivos não são deletados do CDN do GitHub, e as URLs de download continuam funcionando para sempre.
Como a URL do arquivo contém o nome do repositório em que o comentário foi criado, e como quase toda empresa de software usa o GitHub, essa falha pode permitir que atores de ameaças desenvolvam iscas extraordinariamente astutas e confiáveis.
Por exemplo, um ator de ameaças poderia fazer upload de um executável de malware no repositório do instalador de driver da NVIDIA que finge ser um novo driver corrigindo problemas em um jogo popular.
Ou um ator de ameaças poderia fazer upload de um arquivo em um comentário ao código-fonte do Google Chromium e fingir que é uma nova versão de teste do navegador web.
Essas URLs também pareceriam pertencer aos repositórios da empresa, tornando-as muito mais confiáveis.
Infelizmente, mesmo se uma empresa descobrir que seus repositórios estão sendo usados para distribuir malware, o BleepingComputer não conseguiu encontrar nenhuma configuração que permita gerenciar arquivos anexados a seus projetos.
Além disso, você só pode proteger uma conta do GitHub de ser abusada dessa maneira e prejudicar sua reputação desabilitando comentários.
De acordo com este documento de suporte do GitHub, você só pode desabilitar comentários temporariamente por no máximo seis meses de cada vez.
No entanto, restringir comentários pode impactar significativamente o desenvolvimento de um projeto, pois não permitirá que os usuários relatem bugs ou sugestões.
Sergei Frankoff, do serviço de análise de malware automatizado UNPACME, fez uma transmissão ao vivo no Twitch sobre esse bug no mês passado, dizendo que os atores de ameaças estavam ativamente explorando-o.
Como parte de nossa pesquisa sobre esse bug, o BleepingComputer só conseguiu encontrar outro repositório, httprouter, abusado para distribuir malware dessa maneira, e era o mesmo 'Cheater.Pro.1.6.0.zip' visto nas URLs da Microsoft.
No entanto, Frankoff disse ao BleepingComputer que eles descobriram uma campanha semelhante em março que utiliza o mesmo malware carregador LUA, chamado SmartLoader, disfarçado de software de trapaça Aimmy.
Frankoff disse ao BleepingComputer que o SmartLoader é comumente instalado junto com outros payloads, como o malware de roubo de informações RedLine.
O BleepingComputer contatou tanto o GitHub quanto a Microsoft na quinta-feira sobre esse abuso, mas não recebeu resposta.
No momento desta publicação, o malware de roubo de informações ainda está sendo distribuído por meio de links associados ao repositório GitHub da Microsoft.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...