GitHub评论功能被用来冒充微软托管恶意软件 暂时还未解决问题

GitHub评论功能被用来冒充微软托管恶意软件暂时还未解决问题为什么说是设计问题:以微软托管在GitHub上的vcpkg项目为例,这个项目开启了issues反馈,用户提交一个新的issue后其他用户可以在下面评论。评论功能支持附带文件,例如当上传一个名为Cheat.Lab.2.7.2.zip的文件时,GitHub将会这个文件生成永久URL并附加在vcpkg项目下。即便用户删除评论这个文件也会被保留下来并继续提供永久访问,甚至用户都不需要真提交评论,直接上传文件就好了。这样这个恶意文件就可以通过https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip下载。由于这个地址看起来就像是微软官方的文件,因此在一些场合中更容易钓鱼,这也是为什么黑客看中GitHub这个功能并进行滥用的原因。项目所有者不知情:正如上文提到的那样,上传一个文件不用真发布评论,或者发布后立即删除就可以获取这个文件的永久链接,而项目的维护者是不知道自己的项目路径下还存在这种恶意软件的。从某些方面来说这可能也会对一些公司的声誉造成影响,问题是这个问题还不太容易解决,因为它属于GitHub的设计问题,GitHub显然不能一刀切直接关闭这个功能。所以后续GitHub如何解决问题还是个难题,可能需要专门新建一个临时文件路径来托管这些文件,这样不影响使用但也不会托管在其他路径下。...PC版:https://www.cnbeta.com.tw/articles/soft/1428186.htm手机版:https://m.cnbeta.com.tw/view/1428186.htm

相关推荐

封面图片

GitHub评论功能被用来冒充微软托管恶意软件

GitHub评论功能被用来冒充微软托管恶意软件目前GitHub被发现了一个严重的设计问题,有攻击者利用项目评论功能冒充微软等公司来分发恶意软件,并且这种情况已经持续有一段时间了。以微软托管在GitHub上的vcpkg项目为例,这个项目开启了issues反馈,用户提交一个新的issue后其他用户可以在下面评论。评论功能支持附带文件,例如当上传一个名为Cheat.Lab.2.7.2.zip的文件时,GitHub将会这个文件生成永久URL并附加在vcpkg项目下。即便用户删除评论这个文件也会被保留下来并继续提供永久访问,甚至用户都不需要真提交评论,直接上传文件就好了。这样这个恶意文件就可以通过https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip下载。由于这个地址看起来就像是微软官方的文件,因此在一些场合中更容易钓鱼。关注频道@TestFlightCN
封面图片

代码托管平台 GitHub 评论被指滥用:通过知名存储库 URL 分发恶意软件

代码托管平台GitHub评论被指滥用:通过知名存储库URL分发恶意软件在发表评论时,用户可以添加附件,该文件将上传到GitHub的CDN并使用以下格式的唯一URL与相关项目关联:https://www.github.com/{project_user}/{repo_name}/files/{file_id}/{file_name}在将文件添加到未保存的评论后,GitHub会自动生成下载链接,而不是在发布评论后生成URL,如上所示。这使得威胁行为者可以在不知情的情况下将他们的恶意软件附加到任何存储库。即使不发布或删除评论,这些文件也不会从CDN中删除,且URL会持续永久有效。via匿名
封面图片

苹果将所有开源项目迁移至GitHub 不再自建开源代码托管平台

苹果将所有开源项目迁移至GitHub不再自建开源代码托管平台本周有开发者发现苹果已经将所有开源项目迁移至微软的GitHub平台,苹果不再自建开源代码托管平台。目前苹果没有就迁移项目迁移这事儿发布公告进行说明,也许苹果还未彻底完成迁移,不过在旧的苹果开源代码托管平台上,已经出现了发布首页,开发者可以通过这个页面索引苹果的所有项目,每个项目都标注了GitHub地址以及包下载地址等。苹果原自建开源代码托管平台首页:https://opensource.apple.com/releases/新的GitHub代码发布页面:https://github.com/apple-oss-distributions频道:@kejiqu群组:@kejiquchat
封面图片

美国托管IT项目的网络服务GitHub封锁了多个俄罗斯公司的账户。据Habr门户网站报道,其中包括Sberbank、Alfa-B

美国托管IT项目的网络服务GitHub封锁了多个俄罗斯公司的账户。据Habr门户网站报道,其中包括Sberbank、Alfa-Bank以及其他属于制裁范围的俄罗斯公司和个人用户。此前,GitHub承诺不会封锁俄罗斯开发者。Sberbank-Technology、sberbank-ai-lab、alfa-laboratory的账户也被封锁了。GitHub是一个协作开发和代码存储服务。2021年,有7300万开发者使用它,包括来自许多大公司的开发者。——time.news,TestFlightCN
封面图片

AI 开源开发平台 Hugging Face 存在托管的恶意代码

AI开源开发平台HuggingFace存在托管的恶意代码安全公司JFrog的研究人员周四在一份报告中表示,上传到人工智能开发平台HuggingFace的代码在用户计算机上秘密安装了后门和其他类型的恶意软件。研究人员表示,他们总共发现大约100个提交内容在下载并加载到最终用户设备上时执行了隐藏的和不需要的操作。大多数被标记的机器学习模型(所有这些模型都没有被HuggingFace检测到)似乎是研究人员或好奇的用户上传的良性概念证明。研究人员表示,其中大约10个是“真正恶意的”,因为它们在加载时执行的操作实际上损害了用户的安全,例如创建一个可以从互联网远程访问并完全控制用户设备的反向Shell。HuggingFace已删除了所有JFrog标记的模型。这是继PyPI,NPM和GitHub之后又一个被发现受到水坑攻击(WateringHoleAttack)的开发平台,虽然并不让人太意外。——
封面图片

YouBit 允许您在 YouTube 上托管任何类型的文件。

YouBit允许您在YouTube上托管任何类型的文件。这是通过创建一个视频来实现的,其中每个像素代表原始文件的一个或多个比特。从YouTube下载后,这个视频可以被解码回原始文件。下面是这样一个视频的例子:https://www.youtube.com/watch?v=dnhlx48t-h4YouTube没有对您可以上传的视频数量进行限制。这并不是一个新的想法,其他项目也曾进行过探索,如YouTubeDrive。YouBit增加了很多功能、想法和选项,同时在生产力提升方面做出了合理的尝试。https://github.com/MeViMo/youbit#tools

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人