Malware Bersembunyi di Tautan GitHub dan GitLab Resmi

Suara.com - Salah satu tip keamanan siber adalah “Hanya unduh perangkat lunak dari sumber resmi”.

“Sumber resmi” biasanya merupakan toko aplikasi utama di setiap platform, namun untuk jutaan aplikasi sumber terbuka yang berguna dan gratis, sumber paling “resmi” adalah repositori pengembang di situs khusus seperti GitHub atau GitLab.

Kamu dapat menemukan kode sumber proyek, perbaikan dan penambahan kode, dan sering kali versi aplikasi yang siap digunakan.

Baca Juga: Survei: Sepertiga Insiden Serangan Siber Disebabkan Ransomware

Situs-situs ini familiar bagi siapa pun yang bahkan memiliki minat sedikit terhadap komputer, perangkat lunak, dan pemrograman.

Oleh karena itu, ini merupakan penemuan yang tidak menyenangkan bagi banyak orang (termasuk pakar keamanan TI dan pengembangnya sendiri) bahwa file dapat diakses melalui tautan seperti github{.}com/{User_Name}/{Repo_Name}/files/{file_Id}/{file_name} dan diterbitkan oleh orang lain selain pengembang yang berisikan konten berbahaya.

GitHub dan kerabat dekatnya GitLab dibangun berdasarkan kolaborasi dalam proyek pengembangan perangkat lunak.

Pengembang dapat mengunggah kodenya, dan pengembang lain dapat menawarkan penambahan, perbaikan, atau bahkan membuat fork – versi alternatif dari aplikasi.

Jika pengguna menemukan bug di suatu aplikasi, mereka dapat melaporkannya ke pengembang dengan membuat laporan masalah.

Baca Juga: Survei: Sepertiga Insiden Serangan Siber Disebabkan Ransomware

GitHub memiliki satu kekhasan jika pengguna memiliki komentar dan mengunggah file yang menyertainya, namun tidak mengklik “Terbitkan”, informasi tersebut akan tetap “terjebak” dalam draf – dan tidak terlihat oleh pemilik aplikasi dan pengguna GitHub lainnya.

Namun demikian, tautan langsung ke file yang diunggah di komentar tetap ada dan berfungsi penuh, siapa pun yang mengikutinya akan menerima file dari CDN GitHub.

Baca Juga: Tercatat 300 Ribu Serangan Ransomware Hantui Bisnis di Asia Tenggara, Indonesia Nomor 2

Sementara itu, pemilik repositori tempat file ini diposting di komentar tidak dapat menghapus atau memblokirnya.

Mereka bahkan tidak mengetahuinya, selain itu tidak ada pengaturan untuk membatasi pengunggahan file tersebut ke repositori secara keseluruhan.

Satu-satunya solusi adalah menonaktifkan komentar sepenuhnya (di GitHub, dapat melakukan ini hingga enam bulan), tetapi hal ini akan menghilangkan feedback dari pengembang.