this post was submitted on 28 Apr 2024
4 points (66.7% liked)

小想法

17 readers
1 users here now

founded 9 months ago
MODERATORS
[email protected]
4
黑客滥用 GitHub 评论地址传播恶意程序 (www.solidot.org)
submitted 8 months ago by [email protected] to c/[email protected]
0 comments fedilink hide all child comments
 

恶意攻击者滥用了 GitHub 的一个缺陷或设计决策,当用户在软件包库发表评论上传文件时它会自动生成一个关联网址,即使评论最后并没有发布。当用户看到来自微软库的文件网址时可能会认为是可信网址。

举例来说, 这两个文件都不属于 vcpkg 和 STL 库,而是作为用户评论的一部分上传的。

https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip 

https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip
no comments (yet)
sorted by: hot top controversial new old
there doesn't seem to be anything here