I ricercatori di McAfee avevano scoperto che il malware Redline Stealer è stato distribuito tramite un archivio ZIP presente in un repository di Microsoft su GitHub. In realtà, il file è stato caricato sfruttando un bug (o una scelta di design) del servizio di hosting, come verificato da Bleeping Computer.
URL nascosto nei commenti
L’URL del falso tool di cheating, denominato Cheat Lab, punta chiaramente al repository vcpkg. L’URL di un secondo tool, denominato Cheater Pro, punta invece al repository STL. Ma in nessuno dei due repository erano realmente presenti i file ZIP. Tra l’altro sembrava strano che Microsoft non avesse ancora eliminato gli archivi aggiunti a febbraio e marzo, rispettivamente.
I cybercriminali hanno invece sfruttato un bug presente nei commenti di GitHub. Un utente può allegare un file che verrà caricato sulla CDN di GitHub e associato al progetto corrispondente usando un URL del tipo
https://www.github.com/{project_user}/{repo_name}/files/{file_id}/{file_name}
Invece di generare l’URL dopo la pubblicazione del commento, GitHub genera il link per il download in anteprima. Se l’utente non pubblica il commento o lo cancella in seguito, il file non viene eliminato dalla CDN e il link funziona per sempre. I cybercriminali potrebbero quindi sfruttare la popolarità di Microsoft, Google o altre aziende per distribuire file infetti.
Sfortunatamente non esiste nessuna impostazione che impedisca di bloccare il caricamento dei file non autorizzato. L’unica soluzione è disattivare i commenti (ma può essere fatto solo per un massimo di sei mesi) che servono per segnalare bug e suggerimenti. L’archivio del falso tool Cheater Pro viene distribuito anche tramite un altro URL ancora attivo (quelli associati ai repository di Microsoft sono stati rimossi).
Aggiornamento: lo stesso bug è presente anche su GitLab.