O repositório de códigos de propriedade da Microsoft, GitHub, tornou-se o mais recente campo de batalha em segurança cibernética. Atores maliciosos exploraram engenhosamente o recurso de upload de arquivos da plataforma nos comentários para hospedar e distribuir malware. Este método aproveita links de download gerados automaticamente que parecem estar associados a repositórios legítimos e seus proprietários, criando uma falsa sensação de segurança entre as vítimas em potencial.
O mecanismo de exploração
No centro desta questão está o recurso de comentários do GitHub, que permite aos usuários fazer upload de arquivos que são armazenados nos servidores do GitHub. A plataforma cria links de acesso a esses arquivos em tempo real, incorporando-os nos comentários. O que torna esse método particularmente insidioso é que o usuário não precisa postar o comentário para que o arquivo seja carregado e seu URL gerado. Esses URLs incluem o nome do repositório e seu proprietário, o que pode facilmente induzir os indivíduos a acreditarem que estão acessando arquivos legítimos de fontes confiáveis.
Os esforços de resposta e correção
Em resposta às descobertas relatadas por Bleeping Computer, o GitHub tomou medidas removendo o malware que falsamente parecia ser afiliado à Microsoft. No entanto, foi relatado que outras campanhas de malware que utilizam essa tática permanecem acessíveis. Até o momento, o GitHub não comentou publicamente sobre nenhum plano para alterar essa lógica de upload de arquivo para evitar abusos futuros. A única solução imediata para os desenvolvedores que desejam proteger seus repositórios de serem implicados em tais campanhas maliciosas é desativar os comentários, uma medida que prejudica significativamente a natureza colaborativa da plataforma.
No mês passado, o GitHub enviou uma nova ferramenta de segurança impulsionada por IA. Conhecido como Code Scanning Autofix, que está atualmente em versão beta pública e é ativado automaticamente para todos os repositórios privados mantidos por clientes do GitHub Advanced Security (GHAS). Aproveitando os recursos do GitHub Copilot e do CodeQL, esta ferramenta com tecnologia de IA é proficiente no tratamento de mais de 90% dos tipos de alerta em diversas linguagens de programação, incluindo JavaScript, TypeScript, Java e Python.
