Nuove frontiere per la diffusione dei malware: ecco l’attacco mediante… Commenti di GitHub!
Vi ricordate di quando non molto tempo fa abbiamo parlato dei centomila repository infetti su GitHub per via di una campagna di malicious repo confusion? Bene, una nuova puntata si aggiunge alla saga, attraverso un attore del tutto inaspettato, almeno finché non si legge la sceneggiatura. Stiamo parlando dei commenti.
Se sia una falla vera e propria o banalmente un’inconsistenza di design, come racconta Bleeping Computer, non è dato di saperlo, ma il problema è reale: è infatti possibile per un malintenzionato utilizzare la funzione che consente di caricare file allegati ai propri commenti e fare in modo che questi appaiano in qualche modo legittimi.
Come? Semplice, perché la url del malware è composta dal legittimo indirizzo github.com, da una organizzazione e da un progetto altrettanto legittimi come “microsoft/vcpkg” e poi dell’altro, che però ad un utente distratto potrebbe risultare ininfluente per legittimare quello che sta facendo. Peccato che il risultato finale è stato rilevato essere qualcosa di simile a:
https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip
https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zipGli indirizzi qui sopra sono generati da utenti che commentano questioni relative ai progetti che, tornando alla falla o al “by-design” di cui sopra, vengono composti secondo questo schema:
https://www.github.com/{project_user}/{repo_name}/files/{file_id}/{file_name}e la cosa non riguarda solo i file, poiché per immagini e video verrà generato una url del tutto simile che però anziché /files/ avrà /assets/.
La cosa più interessante, per così dire? Una volta che i file vengono caricati e ricevono la loro url anche se il commento non viene postato, il file rimane.
Il circo che deriva da questa “feature” non è nemmeno da raccontare, se infatti la “repo confusion” aveva provocato milioni di infezioni, in questo caso è tutto molto, molto più semplice.
L’unica buona notizia che Bleeping Computer da è che i repository su cui questa problematica è stata rilevata sono solo 2. Ma stiamo parlando solo di Cheat.Lab.2.7.2.zip e Cheater.Pro.1.6.0.zip, che è uno specifico malware su cui si stava indagando.
Ma potete immaginare come il limite su una falla simile, che al momento solo i responsabili dei repository sono in grado di limitare rimuovendo i commenti sospetti, sia il cielo.
Check your downloads!
Raoul Scarazzini
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
