Комментарии в коде как оружие: ошибка в GitLab позволяет скрытно заражать разработчиков

BleepingComputer выявил проблему в платформе GitLab, которая позволяет злоумышленникам распространять вредоносное ПО, используя комментарии в репозиториях. Такая особенность может быть использована для создания ловушек, выглядящих как легитимные файлы известных проектов.

По данным исследования, киберпреступники могут прикреплять файлы в комментариях к репозиториям, и эти файлы загружаются на CDN GitLab. Например, в тестировании использовались файлы, которые были переименованы так, чтобы создать впечатление, что они являются новыми выпусками программ от популярных проектов, таких как Inkscape и Wireshark. На деле же это были обычные JPG-изображения, переименованные в «.exe».

Комментарии с вредоносными файлами

Вредоносные файлы получают URL, включающий хэш MD4 или MD5, что усложняет идентификацию поддельных ссылок без специальных знаний. Ссылки на такие файлы остаются активными даже после удаления комментария или если комментарий так и не был опубликован.

Ссылка для скачивания автоматически генерируется при добавлении файла в комментарий GitLab

Такая уязвимость может быть использована для маскировки вредоносного ПО под обновления или новые версии ПО, что представляет серьезную угрозу безопасности. Пользователи, скачивающие файлы, полагая, что они исходят из надежных источников, рискуют стать жертвами мошенников.

GitLab требует авторизации для загрузки или скачивания файлов, однако это не препятствует злоумышленникам загружать вредоносные файлы. На момент публикации GitLab не предоставил комментариев по проблеме, однако исследование поднимает вопросы о безопасности и необходимости дополнительных мер защиты на платформах разработки программного обеспечения.

Отметим, что подобная уязвимость ранее была обнаружена и на платформе GitHub, где хакеры использовали комментарии для распространения вируса Cheat Lab, маскируя установщики под официальные файлы репозиториев Microsoft.

Атаки происходили через специально сформированные URL-адреса, которые выдавали себя за часть официального источника кода. Такое использование CDN GitHub для размещения файлов, не принадлежащих к репозиториям, но выдающих себя за таковые, демонстрирует общность проблемы между двумя платформами.