3519 подписчиков
#news Хранилищем ссылок на малварь в чужих проектах может послужить не только GitHub: на GitLab предсказуемо обнаружили ровно ту же проблему. Файлы из комментариев грузятся в CDN и предоставляют ссылки с названием проекта и его владельца.
Иными словами, злоумышленник может получить убедительно выглядящую ссылку со своей малварью и от GitLab. Например, под видом установщика драйвера от NVIDIA с их репозитория. Комментариев платформы пока не дают, Microsoft тоже залитый в свои репозитории вредонос никак не комментируют. Между тем один безопасник рассказывал про активный абьюз фичи на GitHub на своём стриме ещё месяц назад. Но пока об этом не раструбят журналисты по всей ИБ-индустрии, конечно же, шевелиться никто не начнёт.
Около минуты
23 апреля 2024