Executando verificação de segurança...
Respondendo a "Eu sei que não importa o quão bem detalhado eu..." dentro da publicação [Não disponível]
1
gpz

Salve, amigo! Tirei o post do ar por alguns motivos. PORÉM, acredito que os seguintes links devem responder algumas dúvidas tuas:
https://perxibes.com.br/posts/github/ (link do meu post)

https://www.youtube.com/watch?v=nsm7tiyA3TA (vídeo principal)

https://www.bleepingcomputer.com/news/security/github-comments-abused-to-push-malware-via-microsoft-repo-urls/
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/redline-stealer-a-novel-approach/
https://research.openanalysis.net/github/lua/2024/03/03/lua-malware.html

E uma dica de profissional para profissional, treine um pouco sobre comunicação não agressiva, isso vai alavancar sua carreira.

Carregando publicação patrocinada...
1
Silva97

E aí. Não tenho nenhuma dúvida que precise ser esclarecida. E deixa eu te dar uma dica também:

O uso do GitHub (e outras plataformas semelhantes) por malwares não é nenhuma novidade e isso existe há muitos anos. Para citar um exemplo, essa matéria é de 2022: https://www.computerweekly.com/news/252528192/Iranian-APT-seen-exploiting-GitHub-repository-as-C2-mechanism.

E como eu já disse 3 meses atrás:

Não tem nada de errado nisso se é o que eles queriam. Se fosse não proposital, se eles quisessem limitar o upload, aí você estaria certo que seria um bug (mas não uma vulnerabilidade).

E sobre a questão do XSS que você alegou ter achado, permanece. Não queria falar isso por ser ofensivo, mas o "XSS em bucket" é até um meme em algumas comunidades.

1
gpz
Autor
Autor

A questão do XSS é a seguinte:

  • Com o XSS é possível redirecionar o alvo para um link malicioso
    O XSS no bucket é apenas o meio do caminho para um phishing. Eu conheço a piada do XSS em bucket. Agora imagine, um atacante se utiliza de um link com credibilidade como o github da microsoft e redireciona para uma página de login falsa. Com isso a taxa de sucesso é mais alta, não concorda? Talvez os termos que acabei utilizando foram equivocados.

Outro ponto interessante, e caso isso acontecesse com você? Caso alguém mal intencionado acabasse hospedando diversos arquivos nos readmes pelo seu projeto, isso não incomodaria você? Isso não compromete a autenticidade e confiabilidade do seu repositório? As pessoas agora pensariam duas vezes ao clicar em qualquer link que tenha seu nome.

https://github.com/GabrielPrzybysz/gabeblog/assets/45472156/18759db0-2925-4658-9619-b59ed4be9a35

1