Опасные ссылки: как защититься от вредоносного контента на GitHub

Опасные ссылки: как защититься от вредоносного контента на GitHub


Даже официальные ресурсы могут быть источником киберугроз. Недавно выяснилось, что злоумышленники распространяют вредоносное ПО через сайт GitHub, на котором разработчики публикуют код своих проектов и собирают обратную связь от других пользователей. Они пользуются тем, что в комментариях можно публиковать произвольные файлы. Управляющий директор «Лаборатории Касперского» в Казахстане, Центральной Азии и Монголии Валерий Зубанов рассказывает, как реализуются такие схемы и как защититься от вредоносного контента. 

GitHub — сайт для совместной работы над проектами по разработке ПО. Разработчики выкладывают на нём код своей программы, например приложения, а другие специалисты его проверяют, предлагают свои исправления и дополнения. К комментариям можно прикладывать файлы, например скриншоты с ошибками. Они хранятся на серверах GitHub и доступны по ссылкам, которые выглядят подобным образом: github.com/ИмяРазработчика/НазваниеПроекта/files/номер/имя_файла.

Если пользователь написал комментарий для GitHub, приложил к нему файл, но не опубликовал, то он, по сути, остаётся в статусе «черновика»: он не виден разработчику и другим пользователям сайта. Однако ссылки на файлы, приложенные к комментариям, работают, и получить к ним доступ могут все желающие. Владельцы проектов, в комментариях к которым был опубликован файл, не могут его удалить или заблокировать. Единственное, что можно сделать в этом случае, — полностью отключить комментарии для всех пользователей, что нежелательно для авторов проектов, поскольку они лишатся обратной связи. Такая же система комментариев используется и в родственном GitHub ресурсе GitLab, однако на этом сайте выгрузка файлов доступна только зарегистрированным пользователям, вошедшим в систему.  

Этой «лазейкой» стали пользоваться злоумышленники для фишинговых атак и распространения вредоносного ПО. Они оставляют комментарии с файлами к проектам разработчиков, которые вызывают доверие. Так, недавно эксперты обнаружили, что злоумышленники распространяли вредоносный инфостилер под видом игрового чита через репозитории Microsoft. Расчёт шёл на то, что ссылка, содержащая названия «GitHub» и «Microsoft», не вызовет у части пользователей подозрений: https://github{.}com/microsoft/vcpkg/files/…../Cheat.Lab.zip. Хотя в данном случае может вызвать вопросы, почему компания Microsoft распространяет игровой чит. 

Как защититься от вредоносного контента

Несмотря на то, что злоумышленники используют изощрённые методы атак, им всё равно можно противостоять. В первую очередь не рекомендуется скачивать файлы по прямым ссылкам на GitHub или GitLab, которые опубликованы в сторонних источниках — например, на других сайтах или в почтовой рассылке. Чтобы проверить, насколько безопасен нужный файл, можно перейти на страницу интересующего проекта: официальные файлы от разработчиков будут там отображаться. 

Важно также тщательно проверять, действительно ли вы зашли на страницу настоящего проекта — злоумышленники могут их подделывать. Иногда разница визуально практически незаметна. Например, в названии проекта может отличаться от оригинального всего лишь на одну букву.   

Также не рекомендуется загружать к себе на устройства приложения, которые были созданы очень давно или у которых мало оценок на GitHub или GitLab. Лучше отдавать предпочтение популярным программам от известных разработчиков, хотя и в этом случае нужно быть осторожными. 

Для более надёжной защиты стоит установить специализированное решение, которое предупредит о попытке перехода на фишинговые ресурсы или потенциально опасных файлах и программах.