Um link de instalação malicioso foi encontrado na wiki do Github de um projeto open source popular, apontando para uma URL de terceiros (https://yip[.]su/2F5rd4) sinalizada pelo VirusTotal. Se o seu projeto usa wikis do Github, bloqueie-as e restrinja o acesso.
O que aconteceu
Durante a revisão da documentação do mockito (o framework de mocking mais popular para testes unitários escritos em Java), alguém percebeu que a seção de instalação da Wiki direcionava os usuários para uma URL encurtada (https://yip[.]su/2F5rd4). O link não tinha relação com o projeto e está sinalizado como malicioso no VirusTotal. O link ficou na página inicial da Wiki por mais de 3 anos antes de ser removido.
Discussão da issue: https://github.com/mockito/mockito/issues/3721
Diff da Wiki mostrando a inserção/remoção: https://github.com/mockito/mockito/wiki/Home/_compare/7303a66959d7823864637d280a92b2a51b68c467...eb1df9c48fd3529bed997a81b4a2100e8c562fcd
Link encurtado malicioso: https://yip[.]su/2F5rd4
Relatório do VirusTotal: https://www.virustotal.com/gui/url/d05eafed450060b4cf8b044bcd7f74f0e1131d49cd2ea76b84de934e55390233
Evidências
O diff da Wiki abaixo mostra o HTML injetado que renderiza botões de download e inclui um link para Windows apontando para a URL encurtada maliciosa:
[Download installer](http://goo-gl[.]me/kj2PI)
## Installation
<a href="https://yip[.]su/2F5rd4"><img src="https://github[.]com/aidenlab/JuiceboxLegacy/wiki/images/winlogo.png" width=100 align="middle"/></a> <a href="https://yip[.]su/2F5rd4">Mockito for Windows</a>
<a href="https://github[.]com/mockito/mockito/releases"><img src="https://github[.]com/aidenlab/JuiceboxLegacy/wiki/images/maclogo.png" width=100 align="middle"/></a> <a href="https://github[.]com/mockito/mockito/releases">Mockito for Mac</a>
<a href="https://github[.]com/mockito/mockito/releases"><img src="https://www.rvmis[.]com/vendor/Tux.svg.png" width=100 align="middle"/></a> <a href="https://github[.]com/mockito/mockito/releases">Mockito for Linux</a>Visualização renderizada: https://github.com/mockito/mockito/wiki/Home/_compare/7303a66959d7823864637d280a92b2a51b68c467...eb1df9c48fd3529bed997a81b4a2100e8c562fcd?short_path=355883c
O botão do Windows resolve para https://yip[.]su/2F5rd4.
Outros projetos populares também podem ser afetados. Este não é um caso isolado — qualquer repositório popular com uma wiki aberta está vulnerável a esse método de ataque.
Por que isso acontece
As Wikis do Github são separadas do repositório de código e têm permissões próprias em projetos públicos abertos. As alterações frequentemente contornam o processo de PR/revisão de código, então qualquer pessoa pode adicionar um link malicioso que pode passar despercebido e ser indexado por mecanismos de busca.
O que você pode fazer para proteger seu projeto Open Source
- desabilite ou restrinja a edição da Wiki apenas a colaboradores selecionados
- mova a documentação de instalação para
/docs(ou README) e exija revisões via PR
Conclusão
A documentação faz parte do seu projeto — trate-a como código de verdade e siga o mesmo processo de revisão.
