GitLab 受到允许恶意软件托管的 GitHub 式 CDN 缺陷影响

安全研究机构最近报告了威胁分子如何滥用 GitHub 缺陷来推送恶意软件，同时使其看起来像是托管在可信组织的官方源代码存储库上。虽然大多数与恶意软件相关的活动都是基于 Microsoft GitHub URL，但这个“缺陷”可能会被 GitHub 或 GitLab 上的任何公共存储库滥用，从而允许威胁分子创建非常令人信服的诱饵。        GitLab 评论也可能被滥用来推送恶意软件例如，攻击中使用的以下 URL 使这些 ZIP 看起来像是存在于 Microsoft 的源代码存储库中：https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.ziphttps://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip然而，经过调查，这些文件（属于恶意软件）在 Microsoft 的代码存储库中却找不到。相反，这些内容存在于 GitHub 的 CDN 上，很可能是由滥用该平台“评论”功能的威胁分子上传的。在对提交或拉取请求留下评 ………………………………