GitHub平台近期遭遇恶意软件攻击,黑客利用评论区的文件上传逻辑散布恶意代码。这些恶意文件通过自动生成的下载链接传播,链接中包含仓库名称和所有者信息,误导受害者认为文件与信任的开发者或公司有关。
黑客创造性地利用GitHub服务器存储上传的文件,并实时创建访问链接。Bleeping Computer的调查显示,即使用户不发送评论,文件也已上传并生成URL。这种URL设计可能会欺骗潜在受害者,让他们以为是点击了某个可信开发者创建的链接。
目前,开发者除了暂时关闭评论功能外,没有其他方法来防范这种恶意行为,这显然不是理想的解决方案,因为它限制了开发平台的协作特性。
GitHub对Bleeping Computer的报告做出反应,删除了与微软有关的恶意软件,但其他恶意活动仍然可访问。测试也显示,平台的文件上传逻辑尚未改变,GitHub也没有公开评论是否计划进行任何更改。