Malware Bersembunyi di Tautan GitHub dan GitLab

SALAH satu tips keamanan utaa adalah, “Hanya unduh perangkat lunak dari sumber resmi”. “Sumber resmi” biasanya merupakan toko aplikasi utama di setiap platform, namun untuk jutaan aplikasi sumber terbuka yang berguna dan gratis, sumber paling “resmi” adalah repositori pengembang di situs khusus seperti GitHub atau GitLab. Di sana, Anda dapat menemukan kode sumber proyek, perbaikan dan penambahan kode, dan sering kali versi aplikasi yang siap digunakan. 

Situs-situs ini familiar bagi siapa pun yang bahkan memiliki minat sedikit terhadap komputer, perangkat lunak, dan pemrograman. Oleh karena itu, ini merupakan penemuan yang tidak menyenangkan bagi banyak orang (termasuk pakar keamanan TI dan pengembangnya sendiri) bahwa file dapat diakses melalui tautan seperti github{.}com/{User_Name}/{Repo_Name}/files/{file_Id}/{file_name} dan diterbitkan oleh orang lain selain pengembang yang berisikan konten berbahaya. 

GitHub dan kerabat dekatnya GitLab dibangun berdasarkan kolaborasi dalam proyek pengembangan perangkat lunak. Pengembang dapat mengunggah kode dan pengembang lain dapat menawarkan penambahan, perbaikan, atau bahkan membuat fork – versi alternatif dari aplikasi. 

Baca juga : Malware Mobile Banking Tumbuh 32 Persen pada 2023

Jika pengguna menemukan bug di suatu aplikasi, mereka dapat melaporkannya ke pengembang dengan membuat laporan masalah. Pengguna lain dapat mengonfirmasi masalah ini di komentar. Anda juga dapat mengomentari versi baru aplikasi. 

Jika perlu, Anda dapat melampirkan file ke komentar, seperti tangkapan layar yang menunjukkan kesalahan atau dokumen yang membuat aplikasi mogok. File-file ini disimpan di server GitHub menggunakan tautan seperti yang dijelaskan di atas.

Namun, GitHub memiliki satu kekhasan: jika pengguna memiliki komentar dan mengunggah file yang menyertainya, namun tidak mengklik “Terbitkan”, informasi tersebut akan tetap “terjebak” dalam draf – dan tidak terlihat oleh pemilik aplikasi dan pengguna GitHub lainnya. 

Baca juga : Serangan Siber Makin Masif, Kaspersky Beri Solusi KUMA untuk Korporasi dan Pemerintahan

Namun demikian, tautan langsung ke file yang diunggah di komentar tetap ada dan berfungsi penuh, siapa pun yang mengikutinya akan menerima file dari CDN GitHub.

Tautan unduhan berisi file berbahaya dibuat setelah file tersebut ditambahkan ke komentar yang tidak dipublikasikan di GitHub

Sementara itu, pemilik repositori tempat file ini diposting di komentar tidak dapat menghapus atau memblokirnya. Mereka bahkan tidak mengetahuinya, selain itu tidak ada pengaturan untuk membatasi pengunggahan file tersebut ke repositori secara keseluruhan. Satu-satunya solusi adalah menonaktifkan komentar sepenuhnya (di GitHub, Anda dapat melakukan ini hingga enam bulan), tetapi hal ini akan menghilangkan feedback dari pengembang.

Baca juga : Selama 2023, Penjahat Siber Kirimkan 411 Ribu File Berbahaya Setiap Harinya

Mekanisme komentar GitLab serupa, memungkinkan file dipublikasikan melalui draf komentar. File dapat diakses melalui tautan seperti gitlab.com/{User_Name}/{Repo_Name}/uploads/{file_Id}/{file_name}.

Namun, masalah dalam kasus ini sedikit berkurang karena hanya pengguna GitLab yang terdaftar dan login lah yang dapat mengunggah file.

Berkat kemampuan untuk mempublikasikan file asing di tautan yang dimulai dengan GitHub/GitLab dan berisi nama pengembang terkemuka dan proyek populer, penjahat dunia maya diberikan kesempatan untuk membawa serangan phishing yang sangat meyakinkan. 

Kampanye berbahaya telah ditemukan di mana “komentar”, yang diduga berisi aplikasi cheat untuk game, terdapat di repositori Microsoft.

“Pengguna yang waspada mungkin bertanya-tanya mengapa cheat game ada di repositori Microsoft: https://github{.}com/microsoft/vcpkg/files/…../Cheat.Lab.zip. Namun kemungkinan besar kata kunci “GitHub” dan “Microsoft” akan meyakinkan korban, sehingga mereka tidak akan mengkhawatirkan tautan tersebut lebih jauh. Penjahat siber yang lebih cerdas mungkin menyamarkan malware secara lebih hati-hati, misalnya dengan menampilkannya sebagai versi baru aplikasi yang didistribusikan melalui GitHub atau GitLab dan memposting tautan melalui “komentar” di aplikasi tersebut.” ungkap Kaspersky.

Cara melindungi diri Anda dari konten berbahaya di GitHub dan GitLab:

• Meskipun kekurangan ini masih belum diperbaiki dan siapa pun dapat dengan bebas mengunggah file apa pun ke CDN GitHub dan GitLab, pengguna platform ini harus sangat berhati-hati.
• Jangan mengunduh file dari tautan langsung GitHub/GitLab yang Anda temukan di sumber eksternal – situs web, email, atau obrolan lain. Sebagai gantinya, buka halaman proyek (github{.}com/{User_Name}/{Repo_Name} atau gitlab{.}com/{User_Name}/{Repo_Name}) dan pastikan Anda benar-benar dapat mendownload file dari sana. File resmi dari pengembang harus dipublikasikan dan terlihat di repositori.
• Pastikan Anda berada di halaman pengembang yang tepat – di GitHub, GitLab, dan repositori sumber terbuka lainnya, kesalahan ketik sering terjadi: membuat proyek palsu dengan nama yang berbeda satu atau dua huruf dari aslinya (misalnya, Chaddev, dan bukan Chatdev).
• Hindari mengunduh aplikasi yang memiliki peringkat rendah dan dibuat baru-baru ini.
• Gunakan perlindungan terhadap malware dan phishing di semua komputer dan ponsel cerdas Anda. (RO/Z-1)