Tội phạm mạng sử dụng bình luận github để lan truyền phần...

Tội phạm mạng sử dụng bình luận github để lan truyền phần mềm độc hại

0 265

Kho lưu trữ mã nguồn GitHub, thuộc sở hữu của Microsoft, đã trở thành trận địa mới của cuộc chiến an ninh mạng. Các tội phạm mạng đã khôn ngoan sử dụng tính năng tải tệp lên trong phần bình luận để lưu trữ và lan truyền phần mềm độc hại. Phương pháp này tận dụng các liên kết tải xuống được tạo tự động, tạo ra sự nhầm lẫn cho người dùng về tính an toàn của các tệp được liên kết với các kho lưu trữ hợp pháp và chính chủ của chúng.

Cơ chế khai thác

Vấn đề chính tại đây là tính năng nhận xét của GitHub, cho phép người dùng tải lên các tệp được lưu trữ trên máy chủ của GitHub và sau đó nhúng chúng vào các bình luận. Điều đặc biệt nguy hiểm là người dùng không cần phải đăng bình luận để tệp được tải lên và liên kết URL của tệp được tạo tự động. Những URL này bao gồm tên của kho lưu trữ và chủ sở hữu, tạo ra sự hiểu lầm rằng người dùng đang truy cập vào các tệp hợp pháp từ các nguồn đáng tin cậy.

Nỗ lực ứng phó và khắc phục

Sau khi nhận được thông tin về vấn đề từ Bleeping Computer, GitHub đã thực hiện biện pháp bảo vệ bằng cách xóa phần mềm độc hại được cho là liên kết với Microsoft. Tuy nhiên, vẫn còn thông tin cho rằng các chiến dịch phần mềm độc hại khác vẫn có thể tiếp tục khai thác phương thức này. Hiện tại, GitHub vẫn chưa công bố bất kỳ kế hoạch nào để thay đổi cơ chế tải tệp này nhằm ngăn chặn việc lạm dụng trong tương lai. Biện pháp khắc phục duy nhất mà các nhà phát triển có thể thực hiện để bảo vệ kho lưu trữ của họ khỏi bị liên quan đến các chiến dịch độc hại như vậy là vô hiệu hóa tính năng nhận xét, một biện pháp ảnh hưởng lớn đến tính tương tác của nền tảng.

Mới đây, GitHub đã giới thiệu một công cụ bảo mật mới được điều khiển bởi trí tuệ nhân tạo (AI). Được biết đến với tên gọi “Tự Động Sửa Lỗi Quét Mã”, công cụ này hiện đang ở phiên bản beta công khai và được kích hoạt tự động cho tất cả các kho lưu trữ riêng tư do khách hàng của GitHub Advanced Security (GHAS) sở hữu. Tận dụng GitHub Copilot và CodeQL, công cụ hỗ trợ AI này có khả năng xử lý hơn 90% loại cảnh báo trên nhiều ngôn ngữ lập trình, từ JavaScript, TypeScript, Java đến Python.