Будет ли исправлен недостаток, который позволяет незаметно внедрять вирусы в код?
BleepingComputer выявил проблему в платформе GitLab, которая позволяет злоумышленникам распространять вредоносное ПО, используя комментарии в репозиториях. Такая особенность может быть использована для создания ловушек, выглядящих как легитимные файлы известных проектов.
По данным исследования, киберпреступники могут прикреплять файлы в комментариях к репозиториям, и эти файлы загружаются на CDN GitLab. Например, в тестировании использовались файлы, которые были переименованы так, чтобы создать впечатление, что они являются новыми выпусками программ от популярных проектов, таких как Inkscape и Wireshark. На деле же это были обычные JPG-изображения, переименованные в «.exe».
Комментарии с вредоносными файлами
Вредоносные файлы получают URL, включающий хэш MD4 или MD5, что усложняет идентификацию поддельных ссылок без специальных знаний. Ссылки на такие файлы остаются активными даже после удаления комментария или если комментарий так и не был опубликован.
Ссылка для скачивания автоматически генерируется при добавлении файла в комментарий GitLab
Такая уязвимость может быть использована для маскировки вредоносного ПО под обновления или новые версии ПО, что представляет серьезную угрозу безопасности. Пользователи, скачивающие файлы, полагая, что они исходят из надежных источников, рискуют стать жертвами мошенников.
GitLab требует авторизации для загрузки или скачивания файлов, однако это не препятствует злоумышленникам загружать вредоносные файлы. На момент публикации GitLab не предоставил комментариев по проблеме, однако исследование поднимает вопросы о безопасности и необходимости дополнительных мер защиты на платформах разработки программного обеспечения.
Отметим, что подобная уязвимость ранее была обнаружена и на платформе GitHub, где хакеры использовали комментарии для распространения вируса Cheat Lab, маскируя установщики под официальные файлы репозиториев Microsoft.
Атаки происходили через специально сформированные URL-адреса, которые выдавали себя за часть официального источника кода. Такое использование CDN GitHub для размещения файлов, не принадлежащих к репозиториям, но выдающих себя за таковые, демонстрирует общность проблемы между двумя платформами.
Одно найти легче, чем другое. Спойлер: это не темная материя