GitHub评论功能被用来冒充微软托管恶意软件 暂时还未解决问题
GitHub评论功能被用来冒充微软托管恶意软件 暂时还未解决问题
为什么说是设计问题:以微软托管在 GitHub 上的 vcpkg 项目为例,这个项目开启了 issues 反馈,用户提交一个新的 issue 后其他用户可以在下面评论。评论功能支持附带文件,例如当上传一个名为的文件时,GitHub 将会这个文件生成永久 URL 并附加在 vcpkg 项目下。即便用户删除评论这个文件也会被保留下来并继续提供永久访问,甚至用户都不需要真提交评论,直接上传文件就好了。这样这个恶意文件就可以通过 https://github [.] com/microsoft/vcpkg/files/14125503/ 下载。由于这个地址看起来就像是微软官方的文件,因此在一些场合中更容易钓鱼,这也是为什么黑客看中 GitHub 这个功能并进行滥用的原因。项目所有者不知情:正如上文提到的那样,上传一个文件不用真发布评论,或者发布后立即删除就可以获取这个文件的永久链接,而项目的维护者是不知道自己的项目路径下还存在这种恶意软件的。从某些方面来说这可能也会对一些公司的声誉造成影响,问题是这个问题还不太容易解决,因为它属于 GitHub 的设计问题,GitHub 显然不能一刀切直接关闭这个功能。所以后续 GitHub 如何解决问题还是个难题,可能需要专门新建一个临时文件路径来托管这些文件,这样不影响使用但也不会托管在其他路径下。 ...
PC版:
手机版:
