GitHub 评论被滥用于推送恶意软件

虽然多数恶意软件活动基于微软 GitHub URL，但这个“缺陷”可与GitHub上的任何公开仓库滥用，导致威胁行动者创建很令人信服的诱饵。

近日，McAfee 发布了一款新的LUA恶意软件加载器，它通过似乎是 “适用于Windows、Linux 和 MacOS 的C++ 库管理器” 的合法微软 GitHub 仓库分发，名为 vcpkg。

该恶意软件加载器的URL表明属于微软仓库，但无法在该项目的源代码中找到这些文件的任何引用。BleepingComputer 认为微软仓库自2月起就分发恶意软件令人奇怪，于是认真调查后发现这些文件并非是 vcpkg 的组成部分，而是当作项目commit或issue 的评论的一部分被上传的。

当留下评论时，GitHub 用户可附加文件，它们也会被上传到 GitHub 的 CDN，并通过如下格式的唯一URL与相关项目关联：'https://www.github.com/{project_user}/{repo_name}/files/{file_id}/{file_name}'。

如果是视频和图片，这些文件被存储在路径 /assets/ 下。GitHub 不会在评论发布后生成URL，而是会自动在用户将文件添加到未保存的评论后生成下载链接。这就导致在用户不知情的情况下，威胁行动者将恶意软件附加到任何仓库。即使用户决定不发布该评论或者在发布后删除，但这些文件并未从 GitHub 的 CDN 中删除，而下载的 URL 继续一直运行。由于该文件的 URL 中包含创建该评论的仓库名称中，几乎每家软件公司都在使用 GitHub，因此该缺陷可导致威胁行动者开发看似非常可信的诱饵。例如，威胁行动者可将恶意软件可执行文件上传到英伟达的驱动下载程序仓库中，伪装成新驱动在热门游戏中修复问题。或者威胁行动者可将文件上传到Google Chromium 源代码评论中并加装它是 Chromium 的新测试版本。

这些URL看似属于该公司的仓库，使其看似更可信。遗憾的是，即使公司了解到自己的仓库被滥用于分发恶意软件，BleepingComputer 也无法找到任何设置，使用户管理附加到项目的文件。另外，用户只能通过禁用评论的方式防止 GitHub 账户被滥用以及扭转自己的声誉。从GitHub 支持文档可发现，一次性临时禁用评论的最长时间是六个月。然而，限制评论无法使用户报告漏洞或提交建议，因此会严重影响项目的开发进展。

UNPACEME 公司的研究员 Sergei Frankoff 在上个月说明了该漏洞的情况，表示威胁行动者们正在活跃滥用该漏洞。BleepingComputer 调查发现，仅发现另外一个仓库httprouter 以同样方式分发恶意软件，也是和微软URL中看到的同样的 “Cheater.Pro.1.6.0.zip”。

然而，Frankoff 表示，他们在3月发现了类似攻击，利用同样的 LUA 加载器恶意软件 SmartLoader 伪装成 Aimmy 软件。Frankoff 表示，SmartLoader一般和其它payload一起安装，如 RedLine 信息窃取恶意软件。GitHub 和微软尚未就此置评。在本文发布之时，该信息窃取恶意软件仍然通过与微软 GitHub 仓库相关联的链接进行分发。

另据最新报道称，GitLab 评论也存在类似问题。