EditorF_A_C_C_T 18 июн 2020 в 15:37

Чужой код — потемки: чем опасно скачивание «безобидного» софта с GitHub

5 мин

13K

Блог компании F.A.C.C.T.Информационная безопасность*Реверс-инжиниринг*Исследования и прогнозы в IT*IT-компании

Комментарии 16

teecat 18 июн 2020 в 16:29

Если они есть, то ВПО засыпает на 20 и 30 секунд соответственно

Слышал звон про уязвимости с симлинками?

justhabrauser 18 июн 2020 в 16:55

Вопрос Автору — а почему упор именно на GitHub?
Типа в нем разделы download чем-то кардинально отличаются от других сайтов?

Kopilov 18 июн 2020 в 17:26

Наверно, предубеждением у некоторых лиц, что «это OpenSource, там все друг другу доверяют, кодер кодеру не нашкодит»

justhabrauser 18 июн 2020 в 17:57

Ну, собственно анализ сырцов тут совсем краткий: "Изучение исходного кода… не дало никаких результатов". Или — если еще короче — "сырцы ниасилил".
Поэтому автор героически слил откуда-то (не с гитхаба) какой-то левый экзешник и начал его героически ковырять.
После чего объявил, что гитхаб — немец.
PS. эх, молодежь… Не умеет жарить заголовки совершенно. Учились бы у Ализара — там так легко за базар не притянешь.

EditorF_A_C_C_T 19 июн 2020 в 12:42

justhabrauser, тут по законам жанра, видимо, требуется пара реплик от автора

1) Уважаемый justhabrauser, после фразы «не дало никаких результатов» следует еще два предложения и два скриншота, объясняющие, почему изучение исходников — это тупик. Поясню: сорцы опубликованы левые. Они не имеют никакого отношения к исследуемой утилите.

2) Что касается «левого экзешника»: githubusercontent[.]com, откуда был изначально скачан файл одним из наших клиентов — это домен GitHub, о чем прямо написано в посте.

ПыСЫ Что касается указанных вами загов, посмотрели — не огонь, обычные стандартные глагольные новостные заги. На вкус и цвет как говорится)

justhabrauser 19 июн 2020 в 12:58

Поясню: сорцы опубликованы левые. Они не имеют никакого отношения к исследуемой утилите.

В чем смысл тогда их упоминать?

2) Что касается «левого экзешника»: githubusercontent[.]com, откуда был изначально скачан файл одним из наших клиентов — это домен GitHub, о чем прямо написано в посте.

Демонстрирую: только-что специально для вас кто-то загрузил на сайт Fedora project некую "вредоносную программу". Только-что (там время UTC), специально для Вас. Кто загрузил — загадка. Что там — непонятно (на самом деле это 7-zip x64 9.20).
Домен принадлежит Fedora project (а можно взять и выше — Red Hat).
Вывод: Fedora project == немцы?

EditorF_A_C_C_T 19 июн 2020 в 13:16

justhabrauser, ну тут все просто: 1) потому что автор утилиты их выложил, как сорцы утилиты. 2) Потому что исследуемую утилиту загрузил на GitHub некто под ником faca5. Об этом тоже сказано в статье. Полная ссылка частично видна на 1 скриншоте.

EditorF_A_C_C_T 19 июн 2020 в 13:34

После чего объявил, что гитхаб — немец.

GitHub — это крупный и очень полезный проект, кто же спорит, но малвару и там можно словить

malefix 20 июн 2020 в 16:36

Как и на любом сайте, контент для которого генерируют пользователи.
Вы же знаете, как переводятся последние два слова в названии домена githubusercontent?
Как насчёт статьи по мотивам исследования файла с какого-нибудь googleusercontent.com?

qw1 19 июн 2020 в 02:02

Кстати да. Когда была криптолихорадка, многие программы-майнеры, ноды разных криптовалют и т.п. (не malware) хостились на github без исходников. В git-е какой-нибудь readme.md, а в релизах — бинарники. Зато как красиво на форумах — ссылка на github.

Ingulf 19 июн 2020 в 11:31

возможно дело в большей известности относительно аналогов

MadHacker 19 июн 2020 в 12:20

А я открывая статью надеялся на рекламу какого нибудь антивирусного решения для зеркал исходного кода и зеркал репозиториев Maven, NPM,….
А тут банально, скачал какой то бинарник и схватил вирус. Ну каждая первая история такая. История то в чём?..

EditorF_A_C_C_T 19 июн 2020 в 15:24

А тут банально, скачал какой то бинарник и схватил вирус. Ну каждая первая история такая. История то в чём?..

Повторюсь, GitHub — это крупный и очень полезный проект, но малвару и тут легко можно словить. Предупрежден — вооружен

artemlight 19 июн 2020 в 17:19

AutoIt, да на гитхабе.
Однозначно — вирусы, которые мы заслужили.
Ну и 775 баксов за такое поделие даже как-то много.

perfect_genius 27 июн 2020 в 13:02

Возникала ли где-то идея, чтобы туда нельзя было выкладывать свои бинарники, но их мог бы создавать сам ресурс из тех же исходников? Какие ещё будут недостатки кроме нагрузки из-за постоянной компиляции?

qw1 27 июн 2020 в 13:16

1. github не сможет обеспечить поддержку 100500 версий компиляторов, препроцессоров, make-систем. останется legacy-режим для старых проектов, либо их придётся сносить с сервера

2. Полный запрет бинарников приведёт к невозможности выложить что-то полезное (например, linux-ядра для телефонов с включениями проприетарных кусков). Так хоть что-то можно изменить и перекомпилить…

3. В релизных бандлах лежит не только exe-бинарник, а ещё help-файлы, readme, ресурсы (т.е. бинарники, как ни смотри). Всё это может быть собрано в инсталлятор и подписано ключом разработчика. приватные ключи тоже загружать на github?

4. Технически, такое ограничение элементарно обходится. Достаточно сделать «компиляцию» бинарного файла из текстового hex-дампа.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий