Jakarta, Gizmologi โย Kaspersky, perusahaan layanan keamanan siber menemukan adanya malware tersembunyi di GitHub atau GitLab. Bagi kalian yang belum mengetahui GitHub, ini merupakan platform yang biasa digunakan pengembang untuk membuat perangkat lunak.
Menurut Kaspersky, di GitHub, pengembang bisa menemukan kode sumber proyek, perbaikan dan penambahan kode, dan sering kali versi aplikasi yang siap digunakan. Dan platform ini familiar tak hanya untuk pengembang, melainkan juga familiar untuk yang memiliki minat sedikit terhadap komputer, perangkat lunak, dan pemrograman.
Maka dari itu, penemuan malware tersembunyi di GitHub ini, perlu diperhatikan bagi kalian yang sering menggunakan platformnya. Kaspersky pun memberitahukan cara agar kamu terhindar dari file berbahaya di GitHub.
Baca Juga:ย Mengenal Chrome Enterprise Premium, Lebih Aman dan Bebas Malware
Malware Tersembunyi bisa Muncul di Kolom Komentar GitHub
Seringnya mendengar โunduh dari situs resmiโ sepertinya membuat para pelaku kejahatan memilih situs resmi seperti GitHub untuk aksi mereka. Kaspersky menjelaskan, GitHub dan kerabat dekatnya GitLab dibangun berdasarkan kolaborasi dalam proyek pengembangan perangkat lunak. Pengembang dapat mengunggah kodenya, dan pengembang lain dapat menawarkan penambahan, perbaikan, atau bahkan membuat fork โ versi alternatif dari aplikasi.
Jika pengguna menemukan bug di suatu aplikasi, mereka dapat melaporkannya ke pengembang dengan membuat laporan masalah. Pengguna lain dapat mengonfirmasi masalah ini di komentar. Pengguna juga dapat mengomentari versi baru aplikasi dan jika perlu, kamu dapat melampirkan file ke komentar.
GitHub memiliki satu kekhasan, jika pengguna memiliki komentar dan mengunggah file yang menyertainya, namun tidak mengklik โTerbitkanโ, informasi tersebut akan tetap โterjebakโ dalam draf โ dan tidak terlihat oleh pemilik aplikasi dan pengguna GitHub lainnya. Di sini lah awal mula malware tersembunyi bisa hadir di GitHub.
Dengan begitu, tautan langsung ke file yang diunggah di komentar tetap ada dan berfungsi penuh, siapa pun yang mengikutinya akan menerima file dari CDN GitHub. Sementara itu, pemilik repositori tempat file ini diposting di komentar tidak dapat menghapus atau memblokirnya. Mereka bahkan tidak mengetahuinya, selain itu tidak ada pengaturan untuk membatasi pengunggahan file tersebut ke repositori secara keseluruhan.
Satu-satunya solusi adalah menonaktifkan komentar sepenuhnya (di GitHub, pengguna dapat melakukan ini hingga enam bulan), tetapi hal ini akan menghilangkan feedback dari pengembang. Mekanisme komentar GitLab serupa, memungkinkan file dipublikasikan melalui draf komentar. File dapat diakses melalui tautan seperti gitlab.com/{User_Name}/{Repo_Name}/uploads/{file_Id}/{file_name}.
Namun, masalah dalam kasus ini sedikit berkurang karena hanya pengguna GitLab yang terdaftar dan login lah yang dapat mengunggah file. Berkat kemampuan untuk mempublikasikan file asing di tautan yang dimulai dengan GitHub/GitLab dan berisi nama pengembang terkemuka dan proyek populer, penjahat dunia maya diberikan kesempatan untuk membawa serangan phishing yang sangat meyakinkan. Kampanye berbahaya telah ditemukan di mana โkomentarโ, yang diduga berisi aplikasi cheat untuk game, terdapat di repositori Microsoft.
Cara Mengatasi Malware Tersembunyi di GitHub
Kaspersky melaporkan kekurangan ini masih belum diperbaiki dan siapa pun dapat dengan bebas mengunggah file apa pun ke CDN GitHub dan GitLab. Sehingga pengguna platform ini harus sangat berhati-hati terhadap malware tersembunyi.
Cara pertama yang bisa kamu lakukan ialah hindari mengunduh file dari tautan langsung GitHub/GitLab yang kamu temukan di sumber eksternal โ situs web, email, atau obrolan lain. Sebagai gantinya, buka halaman proyek (github{.}com/{User_Name}/{Repo_Name} atau gitlab{.}com/{User_Name}/{Repo_Name}) dan pastikan kamu benar-benar dapat mendownload file dari sana. File resmi dari pengembang harus dipublikasikan dan terlihat di repositori.
Lalu Kaspersky mengingatkan kamu harus memastikan berada di halaman pengembang yang tepat โ di GitHub, GitLab, dan repositori sumber terbuka lainnya. Hal ini disarankan karena kesalahan ketik sering terjadi, pelaku kejahatan suka membuat proyek palsu dengan nama yang berbeda satu atau dua huruf dari aslinya (misalnya, Chaddev, dan bukan Chatdev). Selanjutnya kamu juga bisa menghindari mengunduh aplikasi yang memiliki peringkat rendah dan dibuat baru-baru ini.
Eksplorasi konten lain dari Gizmologi.id
Berlangganan untuk dapatkan pos terbaru lewat email.
