Infografis
Namun demikian, tautan langsung ke file yang diunggah di komentar tetap ada dan berfungsi penuh, siapa pun yang mengikutinya akan menerima file dari CDN GitHub.
Baca Juga: Tercatat 300 Ribu Serangan Ransomware Hantui Bisnis di Asia Tenggara, Indonesia Nomor 2
Sementara itu, pemilik repositori tempat file ini diposting di komentar tidak dapat menghapus atau memblokirnya.
Mereka bahkan tidak mengetahuinya, selain itu tidak ada pengaturan untuk membatasi pengunggahan file tersebut ke repositori secara keseluruhan.
Satu-satunya solusi adalah menonaktifkan komentar sepenuhnya (di GitHub, dapat melakukan ini hingga enam bulan), tetapi hal ini akan menghilangkan feedback dari pengembang.
Mekanisme komentar GitLab serupa, memungkinkan file dipublikasikan melalui draf komentar. File dapat diakses melalui tautan seperti gitlab.com/{User_Name}/{Repo_Name}/uploads/{file_Id}/{file_name}.
Namun, masalah dalam kasus ini sedikit berkurang karena hanya pengguna GitLab yang terdaftar dan login lah yang dapat mengunggah file.
Berkat kemampuan mempublikasikan file asing di tautan yang dimulai dengan GitHub/GitLab dan berisi nama pengembang terkemuka dan proyek populer, penjahat dunia maya diberikan kesempatan untuk membawa serangan phishing yang sangat meyakinkan.
![Ilustrasi email phising. [Freepik]](https://media.suara.com/pictures/653x366/2022/05/25/33239-ilustrasi-email-phising.jpg)
Kampanye berbahaya telah ditemukan di mana “komentar”, yang diduga berisi aplikasi cheat untuk game, terdapat di repositori Microsoft.
Baca Juga: Survei: Sepertiga Insiden Serangan Siber Disebabkan Ransomware
“Pengguna yang waspada mungkin bertanya-tanya mengapa cheat game ada di repositori Microsoft"
https://github{.}com/microsoft/vcpkg/files/…../Cheat.Lab.zip," kata Kaspersky.
Namun kemungkinan besar kata kunci “GitHub” dan “Microsoft” akan meyakinkan korban, sehingga mereka tidak akan mengkhawatirkan tautan tersebut lebih jauh.
