Хакеры нашли способ загрузить вредоносное ПО на GitHub и даже создать впечатление, будто оно размещается и распространяется другими разработчиками, заслуживающими доверия.
Большая часть вредоносного ПО использует URL-адреса Microsoft GitHub, более того, этот «недостаток» системы безопасности можно использовать в любом общедоступном репозитории на GitHub.
Злоумышленники использовали необычную схему, задействуя механизм загрузки файлов в комментариях GitHub. При этом компании-жертвы мало что могут сделать, чтобы защитить себя от подобного.
Единственное пока решение — вообще отключить комментарии, но это приносит больше проблем, чем решает.
