Злоумышленники используют в GitHub лазейку для распространения вредоносного ПО с помощью URL-адресов, связанных с репозиторием Microsoft.
Аналогичный способ может применяться в любом общедоступном репозитории на GitHub.Ранее в McAfee опубликовали отчёт о новом загрузчике вредоносного ПО LUA, распространяемом через законный репозиторий Microsoft GitHub менеджера библиотек C++ для Windows, Linux и MacOS, известного как vcpkg.
Исследователи привели примеры таких URL-адресов установщиков вредоносного ПО, ссылки на которые отсутствуют в исходном коде проекта:https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip,https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip.В BleepingComputer обнаружил, что файлы не являются частью vcpkg, а были загружены как часть комментария, оставленного к коммиту или описывающего проблему в проекте.Оставляя комментарий, пользователь GitHub может прикрепить файл, который будет загружен в CDN GitHub и связан с соответствующим проектом, используя уникальный URL-адрес в следующем формате: 'https://www.github.com/{project_user}/{ repo_name}/files/{file_id}/{file_name}.'Вместо создания URL-адреса после публикации комментария GitHub автоматически генерирует ссылку для скачивания.
Читать на habr.com