{"id":28826,"date":"2024-05-14T10:44:36","date_gmt":"2024-05-14T08:44:36","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=28826"},"modified":"2024-05-16T12:44:21","modified_gmt":"2024-05-16T10:44:21","slug":"beware-github-malicious-links","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/beware-github-malicious-links\/28826\/","title":{"rendered":"Malware in agguato nei collegamenti “ufficiali” di GitHub e GitLab"},"content":{"rendered":"

Uno dei consigli pi\u00f9 longevi sulla sicurezza \u00e8: \u201cscaricare software solo da fonti ufficiali\u201d. Le \u201cfonti ufficiali\u201d sono in genere i principali app store di ciascuna piattaforma, ma per milioni di app open source utili e gratuite, la fonte pi\u00f9 \u201cufficiale\u201d che c\u2019\u00e8 \u00e8 il repository dello sviluppatore stesso su un sito dedicato come GitHub o GitLab. L\u00ec puoi trovare il codice sorgente del progetto, le correzioni e le aggiunte al codice e spesso una build pronta all\u2019uso. Questi siti sono familiari a chiunque abbia il minimo interesse in computer, software e programmazione. Ecco perch\u00e9 \u00e8 stata una spiacevole scoperta per molti (inclusi gli specialisti della sicurezza IT e gli stessi sviluppatori) che un file accessibile a un link come github{.}com\/{nome_utente}\/{nome_repo}\/files\/{id_file}\/{nome_file}<\/em> potesse essere pubblicato da qualcuno diverso dallo sviluppatore e contenere\u2026 qualsiasi cosa.<\/p>\n

Naturalmente, i criminali informatici ne hanno subito approfittato.<\/p>\n

Definiamo il problema<\/h2>\n

GitHub e il suo parente stretto GitLab si basano sulla collaborazione nei progetti di sviluppo software. Uno sviluppatore pu\u00f2 caricare il proprio codice e altri possono offrire aggiunte, correzioni o creare fork, cio\u00e8 versioni alternative dell\u2019app o della libreria. Se un utente trova un bug in un\u2019app, pu\u00f2 segnalarlo allo sviluppatore creando un apposito report. Altri utenti possono confermare il problema nei commenti. Si possono anche commentare le nuove versioni dell\u2019app. Se necessario, \u00e8 possibile allegare file ai commenti, ad esempio schermate che mostrano l\u2019errore o documenti che causano l\u2019arresto anomalo dell\u2019applicazione. Questi file sono archiviati nei server GitHub utilizzando link del tipo sopra descritto.<\/p>\n

Tuttavia, GitHub ha una particolarit\u00e0: se un utente prepara un commento e carica i file di accompagnamento ma non fa clic su \u201cPubblica\u201d, le informazioni rimangono \u201ccongelate\u201d nella bozza, invisibili sia al proprietario dell\u2019applicazione che agli altri utenti di GitHub. Viene per\u00f2 creato un link diretto al file caricato nel commento, pienamente funzionante, e chiunque segua il thread di commenti ricever\u00e0 il file dal CDN di GitHub.<\/p>\n

\"Un

Un link per il download di un file dannoso viene generato dopo l\u2019aggiunta del file a una bozza di commento su GitHub<\/p><\/div>\n

Nel frattempo, i proprietari del repository in cui \u00e8 pubblicato questo file nei commenti non possono eliminarlo, n\u00e9 bloccarlo. Non sanno nemmeno che esiste! Inoltre non vi \u00e8 alcuna impostazione per limitare il caricamento di tali file nell\u2019ambito del repository. L\u2019unica soluzione \u00e8 disabilitare completamente i commenti (su GitHub \u00e8 possibile farlo per un massimo di sei mesi), ma ci\u00f2 priverebbe gli sviluppatori dei feedback.<\/p>\n

Il meccanismo di commento di GitLab \u00e8 simile, in quanto consente la pubblicazione di file tramite bozze di commenti. I file sono accessibili tramite un link del tipo gitlab.com\/{nome_utente}\/{nome_repo}\/uploads\/{id_file}\/{name_file}.<\/em><\/p>\n

Il problema in questo caso \u00e8 in qualche modo mitigato dal fatto che solo gli utenti GitLab registrati e connessi possono caricare file.<\/p>\n

Un regalo alle campagne di phishing<\/h2>\n

Grazie alla possibilit\u00e0 di pubblicare file arbitrari su collegamenti che iniziano con GitHub\/GitLab e contengono i nomi di sviluppatori rispettati e progetti popolari (perch\u00e9 un commento non pubblicato contenente un file pu\u00f2 essere lasciato in quasi tutti i repository), i criminali informatici hanno l\u2019opportunit\u00e0 di apportare attacchi di phishing molto convincenti. Sono gi\u00e0 state scoperte campagne dannose<\/a> in cui \u201ccommenti\u201d, presumibilmente contenenti app per barare nei giochi vengono lasciati nei repository di Microsoft.<\/p>\n

Un utente attento potrebbe chiedersi cosa ci faccia un cheat di gioco in un repository di Microsoft: https:\/\/github{.}com\/microsoft\/vcpkg\/files\/\u2026..\/Cheat.Lab.zip<\/em> . Ma \u00e8 molto pi\u00f9 probabile che le parole chiave \u201cGitHub\u201d e \u201cMicrosoft\u201d rassicurino la vittima, che non esaminer\u00e0 ulteriormente il link. I criminali pi\u00f9 intelligenti potrebbero camuffare il loro malware in modo ancora pi\u00f9 accurato, ad esempio presentandolo come una nuova versione di un\u2019app distribuita tramite GitHub o GitLab e pubblicandone il link nei commenti relativi a tale app.<\/p>\n

Come proteggersi da contenuti dannosi su GitHub e GitLab<\/h2>\n

Questo difetto di progettazione rimane irrisolto e chiunque pu\u00f2 caricare liberamente file arbitrari nei CDN di GitHub e GitLab, pertanto gli utenti di queste piattaforme devono stare estremamente attenti.<\/p>\n