Skadlig kod sprids via lömska Github-länkar

Permalänk
Melding Plague

Skadlig kod sprids via lömska Github-länkar

Hackare har hittat ett nytt sätt att lura offer att ladda ned och installera skadlig kod.

Läs hela artikeln här

Visa signatur

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa kan leda till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Permalänk
Medlem

Ah påminner hur man på liknande vis kan (kunde?) utnyttja Discord-uppladdningar på liknande sätt.

Detta ser dock ännu mer legit ut och kan säkert lura mer avancerade användare.

Permalänk
Medlem

vore väl lätt för servern och kolla om filen tillhör en publicerad/godkänd kommentar eller inte, om den inte är det ge 403. enda som kan eventuellt ladda ner filen är inloggad som uppladdaren eller utvecklaren vars projekt kommenterats på.

Visa signatur

Xeon E5450@3.2ghz
9800GTX+

Permalänk

Det finns många problem idag.

Ta en simpel sak som att jämföra förändring i XML filer, se vilka förändringar som har skett. Vid pytteliten förändring så ta vilken filecompare som helst, men vid större hur gör man då?

1: Utför kontrollen manuellt, vilket tar lång tid.
2: Kodar ihop något, vilket säkert tar tio gånger så lång tid som alternativ 1. (man hoppas på att det går återanvända)
3: Man laddar hem något som ofta inte är väldigt pålitlig källa som ett githubb projekt.
4: Man laddar upp .csv filerna till någon av dessa hundratals webtjänster som man får upp när man googlar.

Om vi tar den generella utvecklaren som ej jobbar med någon superhemligt, men ändå inget som är helt offentligt. Så gissar jag många väljer alternativ 3 och 4, vilket innebär att den sparar tid för dens risker den tar med att slarva med hanteringen av andras data.

Permalänk
99:e percentilen

Hackarna har utnyttjat att det går att ladda upp bilagor till kommentarer i Githubs system för att spåra buggar, nya funktioner och annat.

Aldrig kan vi få ha något fint i denna värld.

Visa signatur

Skrivet med hjälp av Better SweClockers

Permalänk
Medlem

Antar att det rimliga ur det här perspektivet vore att filen låg under uppladdarens namn?

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Permalänk
99:e percentilen
Skrivet av GizmoTheGreen:

vore väl lätt för servern och kolla om filen tillhör en publicerad/godkänd kommentar eller inte, om den inte är det ge 403. enda som kan eventuellt ladda ner filen är inloggad som uppladdaren eller utvecklaren vars projekt kommenterats på.

Vore det verkligen det? Publicerad, visst. Men vem ska sitta och granska varje kommentar som postas på GitHub för att verifiera att den inte innehåller skadliga filer?

Ser inte heller hur föreställningar om "utvecklaren vars projekt kommenterats på" kan gå ihop med konceptet fri mjukvara med öppen källkod, som ju ändå får anses vara ett huvudsyfte med GitHub.

Visa signatur

Skrivet med hjälp av Better SweClockers

Permalänk
Medlem
Skrivet av Alling:

Vore det verkligen det? Publicerad, visst. Men vem ska sitta och granska varje kommentar som postas på GitHub för att verifiera att den inte innehåller skadliga filer?

Ser inte heller hur föreställningar om "utvecklaren vars projekt kommenterats på" kan gå ihop med konceptet fri mjukvara med öppen källkod, som ju ändå får anses vara ett huvudsyfte med GitHub.

ja, om någon lägger upp en kommentar med en fil på mitt projekt, som antagligen är riktat till de som aktivt arbetar på projektet. och de kan ju då godkänna kommentaren? visst är ju då utvecklaren kanske utsatt för risk men om kommentaren ska innehålla en crashdump eller liknande och där är en PDF eller EXE i arkivet kan man ju ana ugglor i mossen, och blockera kommentaren.

varför ska filen ha publik åtkomst utan någon inloggning alls? vill man dela filer publikt med github som nån sorts "free hosting" så får man väl göra ett repo, inte gömma filer i kommentarer "unlisted" som man sedan sprider vidare till kompisar istället för att använda dropbox/gdrive/annat.

är väl rimligt? förhindrar inte någon som inte är med i teamet att forka eller skicka merge request eller vad det heter t.ex.
så hindrar inte opensource alls.

vara inloggad på github och neka all åtkomst utan credentials vore ju minimum oavsett. speciellt från en icke-publicerad kommentar, den filen ska ju vara privat, då. eller tänker jag fel?

Visa signatur

Xeon E5450@3.2ghz
9800GTX+

Permalänk
Medlem

McAfee lol, helt sjukt att företaget fortfarande inte bytt namn.

Men ja, varit förvånad länge att det inte är mer skit på github.

Permalänk
Medlem

Så ett simpelt och gratis skydd, ladda aldrig ner från direktlänkar som du hittar på nätet.

Visa signatur

Intel i5 12600K | Asus TUF Gaming Z690-Plus D4 | Asus Geforce RTX 3060 Ti | 32 GB DDR4 | Fractal Design North | Corsair iCue Link H100i | Cooler Master V750 Gold i Multi

Permalänk
Medlem
Skrivet av GizmoTheGreen:

vore väl lätt för servern och kolla om filen tillhör en publicerad/godkänd kommentar eller inte, om den inte är det ge 403. enda som kan eventuellt ladda ner filen är inloggad som uppladdaren eller utvecklaren vars projekt kommenterats på.

Ingen tvivlar på att felet är lätt att fixa när det väl uppdagas. Problemet är fel som ännu ej är upptäckta. Som det här fram till nyligen.

Visa signatur

Processor: Motorola 68000 | Klockfrekvens: 7,09 Mhz (PAL) | Minne: 256 kB ROM / 512 kB RAM | Bussbredd: 24 bit | Joystick: Tac2 | Operativsystem: Amiga OS 1.3

Permalänk
99:e percentilen
Skrivet av GizmoTheGreen:

ja, om någon lägger upp en kommentar med en fil på mitt projekt, som antagligen är riktat till de som aktivt arbetar på projektet. och de kan ju då godkänna kommentaren? visst är ju då utvecklaren kanske utsatt för risk men om kommentaren ska innehålla en crashdump eller liknande och där är en PDF eller EXE i arkivet kan man ju ana ugglor i mossen, och blockera kommentaren.

En kommentar behöver inte nödvändigtvis vara riktad endast till aktiva maintainers, och det är inte alla projekt som har aktiva maintainers. Men förstår mer hur du menar nu.

Citat:

varför ska filen ha publik åtkomst utan någon inloggning alls?

Att den ska ha det tycker jag bör vara utgångspunkten – från användarens perspektiv är det rejält tröttsamt med den typen av artificiella inloggningskrav. Många forum har ju det så, men det är väl pga begränsade resurser och kanske för att locka till registrering. Inget av de argumenten känns försvarligt i GitHubs fall.

Citat:

vill man dela filer publikt med github som nån sorts "free hosting" så får man väl göra ett repo, inte gömma filer i kommentarer "unlisted" som man sedan sprider vidare till kompisar istället för att använda dropbox/gdrive/annat.

Ja, så ska man givetvis inte göra. Men det är inte uppenbart för mig att lösningen är att kräva inloggning för att se bifogade filer.

Citat:

är väl rimligt? förhindrar inte någon som inte är med i teamet att forka eller skicka merge request eller vad det heter t.ex.
så hindrar inte opensource alls.

Nä, men i OSS ingår ju i praktiken även att kunna delta i diskussioner om mjukvaran, vilket var vad jag menade med min invändning mot förslaget att bara uppladdaren eller projektets maintainer(s) borde kunna ladda ner filen.

Citat:

vara inloggad på github och neka all åtkomst utan credentials vore ju minimum oavsett. speciellt från en icke-publicerad kommentar, den filen ska ju vara privat, då. eller tänker jag fel?

Håller inte med om att man nödvändigtvis ska behöva vara inloggad för att se bifogade filer (se ovan), men håller med om att filen inte borde finnas tillgänglig om inte kommentaren den hör till gör det. När jag funderade kring det insåg jag emellertid att det nog inte är trivialt att implementera det på ett bra sätt i praktiken.

Slutligen vill jag be om ursäkt för att mitt förra inlägg lät betydligt bistrare än det lät i mitt huvud när jag skrev det.

Visa signatur

Skrivet med hjälp av Better SweClockers

Permalänk
Medlem

Steg ett är väl för github att inte serva länkar till https://github.com/XXXX/YYYY/files/ZZZZZ där referern inte är en github-kommentar.

Permalänk
Medlem
Skrivet av lillaankan_i_dammen:

Det finns många problem idag.

Ta en simpel sak som att jämföra förändring i XML filer, se vilka förändringar som har skett. Vid pytteliten förändring så ta vilken filecompare som helst, men vid större hur gör man då?

1: Utför kontrollen manuellt, vilket tar lång tid.
2: Kodar ihop något, vilket säkert tar tio gånger så lång tid som alternativ 1. (man hoppas på att det går återanvända)
3: Man laddar hem något som ofta inte är väldigt pålitlig källa som ett githubb projekt.
4: Man laddar upp .csv filerna till någon av dessa hundratals webtjänster som man får upp när man googlar.

Om vi tar den generella utvecklaren som ej jobbar med någon superhemligt, men ändå inget som är helt offentligt. Så gissar jag många väljer alternativ 3 och 4, vilket innebär att den sparar tid för dens risker den tar med att slarva med hanteringen av andras data.

Vad har det här med tråden att göra? Var GitHub det enda du läste??

Men om du inte har väldigt stora XML-filer är det där inte så värst svårt problem, och det borde inte ta så lång tid att skriva en rekursiv jämförelse.

Visa signatur

Bra, snabbt, billigt; välj två.

Ljud
PC → ODAC/O2 → Sennheiser HD650/Ultrasone PRO 900/...
PC → S.M.S.L SA300 → Bowers & Wilkins 607

Permalänk
Medlem
Skrivet av Alling:

En kommentar behöver inte nödvändigtvis vara riktad endast till aktiva maintainers, och det är inte alla projekt som har aktiva maintainers. Men förstår mer hur du menar nu.

Att den ska ha det tycker jag bör vara utgångspunkten – från användarens perspektiv är det rejält tröttsamt med den typen av artificiella inloggningskrav. Många forum har ju det så, men det är väl pga begränsade resurser och kanske för att locka till registrering. Inget av de argumenten känns försvarligt i GitHubs fall.

okej, om man möts halvvägs då? när man är på webbsidan av github och klickar på en länk så är där nån sorts onetime/session key som skapades när sidan besöktes av dig, gäller för din IP i 1 en timme eller nåt.
så man får ladda ner den (du vet, typ http bla bla .zip?34652564).
då man kan inte slänga runt länken hur som helst på nätet.

flertalet free upload sites gör väl så när de genererar länkarna idag. och en del imageboards också tror jag. som du nämner nog främst för att spara bandbredd/resurser.

sen vet jag inte exakt hur git funkar om man kan komma åt kommentarer och dess filer via git-verktyg (commandline eller gui) men det sker väl inte över http ändå utan git protokollet? så annat område där tänker jag.

annars är vi nog rätt överrens, ha det fint!

Visa signatur

Xeon E5450@3.2ghz
9800GTX+