GitHub是全球最大的代碼托管平臺,全球各地的科技公司和開發者們在上面托管項目或源代碼,項目維護者也可以開啟評論功能讓其他開發者提交建議或反饋問題。不過目前GitHub被發現一個嚴重的設計問題,有攻擊者利用項目評論功能冒充微軟等公司來分發惡意軟件,並且這種情況已經持續有一段時間。
為什麼說是設計問題:
以微軟托管在 GitHub 上的 vcpkg 項目為例,這個項目開啟 issues 反饋,用戶提交一個新的 issue 後其他用戶可以在下面評論。
評論功能支持附帶文件,例如當上傳一個名為 Cheat.Lab.2.7.2.zip 的文件時,GitHub 將會這個文件生成永久 URL 並附加在 vcpkg 項目下。
即便用戶刪除評論這個文件也會被保留下來並繼續提供永久訪問,甚至用戶都不需要真提交評論,直接上傳文件就好。
這樣這個惡意文件就可以通過 https://github [.] com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip 下載。
由於這個地址看起來就像是微軟官方的文件,因此在一些場合中更容易釣魚,這也是為什麼黑客看中 GitHub 這個功能並進行濫用的原因。
項目所有者不知情:
正如上文提到的那樣,上傳一個文件不用真發佈評論,或者發佈後立即刪除就可以獲取這個文件的永久鏈接,而項目的維護者是不知道自己的項目路徑下還存在這種惡意軟件的。
從某些方面來說這可能也會對一些公司的聲譽造成影響,問題是這個問題還不太容易解決,因為它屬於 GitHub 的設計問題,GitHub 顯然不能一刀切直接關閉這個功能。
所以後續 GitHub 如何解決問題還是個難題,可能需要專門新建一個臨時文件路徑來托管這些文件,這樣不影響使用但也不會托管在其他路徑下。