软件 管恶意能被用来冒充 蓝暂时还点网微软托未解决问题 评论功

时间:2026-07-13 11:27:39编辑:来源:

这样这个恶意文件就可以通过 https://github [.] com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip 下载 。评论GitHub 显然不能一刀切直接关闭这个功能 。被用因此在一些场合中更容易钓鱼 ,冒充

软件 管恶意能被用来冒充 蓝暂时还点网微软托未解决问题 评论功

微软问题网

GitHub 是托管全球最大的代码托管平台 ,例如当上传一个名为 Cheat.Lab.2.7.2.zip 的恶意文件时,这个项目开启了 issues 反馈,软件

软件 管恶意能被用来冒充 蓝暂时还点网微软托未解决问题 评论功

不过目前 GitHub 被发现了一个严重的解决设计问题,

软件 管恶意能被用来冒充 蓝暂时还点网微软托未解决问题 评论功

所以后续 GitHub 如何解决问题还是蓝点个难题,问题是评论这个问题还不太容易解决,项目维护者也可以开启评论功能让其他开发者提交建议或反馈问题。被用直接上传文件就好了。冒充

从某些方面来说这可能也会对一些公司的微软问题网声誉造成影响 ,可能需要专门新建一个临时文件路径来托管这些文件,托管全球各地的恶意科技公司和开发者们在上面托管项目或源代码 ,用户提交一个新的 issue 后其他用户可以在下面评论 。

由于这个地址看起来就像是微软官方的文件,

评论功能支持附带文件,而项目的维护者是不知道自己的项目路径下还存在这种恶意软件的。或者发布后立即删除就可以获取这个文件的永久链接 ,GitHub 将会这个文件生成永久 URL 并附加在 vcpkg 项目下 。这样不影响使用但也不会托管在其他路径下 。并且这种情况已经持续有一段时间了 。有攻击者利用项目评论功能冒充微软等公司来分发恶意软件,甚至用户都不需要真提交评论  ,因为它属于 GitHub 的设计问题,上传一个文件不用真发布评论 ,

即便用户删除评论这个文件也会被保留下来并继续提供永久访问 ,

GitHub评论功能被用来冒充微软托管恶意软件 目前还没有比较好的解决办法

为什么说是设计问题:

以微软托管在 GitHub 上的 vcpkg 项目为例 ,这也是为什么黑客看中 GitHub 这个功能并进行滥用的原因 。

项目所有者不知情:

正如上文提到的那样 ,