Teknogav.com – Tips ‘Hanya unduh perangkat lunak dari sumber resmi’ untuk terhindar dari ancaman siber ternyata tak lagi manjur. ‘Sumber resmi’ biasanya merupakan toko aplikasi utama di suatu platform. Namun, jutaan aplikasi open-source yang berguna dan gratis memiliki sumber resmi repositori pengembang di situs khusus seperti GitHub atau GitLab.
Pada situs khusus seperti GitHub atau GitLab terdapat source-code proyek, perbaikan dan penambahan kode, dan versi aplikasi yang siap digunakan. Situs ini tak asing bagi banyak orang, bahkan mereka yang tak terlalu berminat pada komputer, perangkat lunak dan pemrograman. Tentunya ditemukannya file berisi konten berbahaya yang bisa diakses melalui tautan seperti github{.}com/{User_Name}/{Repo_Name}/files/{file_Id}/{file_name} dan diterbitkan selain pengembang akan meresahkan.
Baca juga: Dukung Cloud dan AI Indonesia, Microsoft Siap Investasikan USD1,7 Miliar
GitHub dan GitLab dibangun berlandaskan kolaborasi proyek pengembangan perangkat lunak. Pengembang dapat mengunggah kode pemrograman dan pengembang lain bisa menambah, memperbaiki, atau bahkan membuat for atau versi alternatif aplikasi. Jika ada bug yang ditemukan dalam aplikasi, maka bisa dilaporkan ke pengembang dengan melaporkan masalah. Masalah ini bisa dikonfirmasi pengguna lain di kolom komentar, versi baru aplikasi juga bisa dikomentari.Jika perlu bahkan bisa melampirkan file ke komentar. File tersebut bisa berupa tangkapan layar yang menunjukkan kesalahan atau dokumen yang menyebabkan aplikasi macet. Penyimpanan file berada di server GitHub dengan tautan layaknya yang dijelaskan sebelumnya.
Ciri khas GitHub adalah jika ada komentar dengan lampiran file, tetapi tidak mengklik ‘terbitkan’ maka informasi tersebut akan tersangkut di draft. Informasi ini tidak tidak dapat dilihat pemilik aplikasi dan pengguna GitHub lain. Namun, tautan langsung ke file yang diunggah di komentar tetap ada dan berfungsi penuh. Jika tautan diklik, maka akan mendapat file dari CDN GitHub.
Baca juga: DANA Gandeng Microsoft Integrasikan GitHub Copilot untuk Tingkatkan Produktivitas Kerja
Tautan unduhan berisi file berbahaya dibuat setelah file ditambahkan ke komentar yang tidak dipublikasikan di GitHub |
Pemilik repositori tempat file ini diposting di komentar tidak dapat menghapus atau memblokirnya, bahkan mereka tak mengetahuinya. Selain itu, tidak ada pengaturan untuk membatasi pengunggahan file tersebut ke repositori secara keseluruhan. Satu-satunya solusi adalah dengan menonaktifkan komentar sepenuhnya, tetapi akan menghilangkan masukan dari orang lain. Tindakan ini dapat dilakukan sampai enam bulan di GitHub. Mekanisme komentar GitLab sama, memungkinkan publikasi file dari draft komentar. File dapat diakses melalui tautan seperti gitlab.com/{User_Name}/{Repo_Name}/uploads/{file_Id}/{file_name}. Namun hanya pengguna GitLab yang terdaftar dan login saja yang bisa mengunggah file, sehingga dapat mengurangi masalah dalam kasus ini.
Kesempatan untuk mempublikasi file asing di tautan pada GitHub/GitLab, membuka celah bagi penjahat siber untuk membawa serangan phishing yang meyakinkan. Kampanye berbahaya di repository Microsoft ditemukan pada komentar, yang diduga breisi aplikasi cheat untuk game.
Baca juga: VMware Luncurkan Jajaran Solusi untuk Percepat Inovasi dan Transformasi Digital
“Pengguna yang waspada mungkin bertanya-tanya mengapa cheat game ada di repositori Microsoft: https://github{.}com/microsoft/vcpkg/files/…../Cheat.Lab.zip. Namun kemungkinan besar kata kunci “GitHub” dan “Microsoft” akan meyakinkan korban, sehingga mereka tidak akan mengkhawatirkan tautan tersebut lebih jauh. Penjahat siber yang lebih cerdas mungkin menyamarkan malware secara lebih hati-hati, misalnya dengan menampilkannya sebagai versi baru aplikasi yang didistribusikan melalui GitHub atau GitLab dan memposting tautan melalui “komentar” di aplikasi tersebut,” papar Kaspersky.
Tips Aman dari Konten Berbahaya di GitHub dan GitLab
Selama celah pada platform seperti GitHub dan GitLab belum dibenahi, semua orang leluasa mengunggah segala file ke CDN platform tersebut. Antisipasi yang harus dilakukan adalah berhati-hati dan menerapkan beberapa tips berikut ini:
- Jangan mengunduh file dari tautan langsung GitHub/GitLab yang diperoleh dari sumber eksternal seperti situs web, email, atau obrolan lain. Gunakan halaman proyek (github{.}com/{User_Name}/{Repo_Name} atau gitlab{.}com/{User_Name}/{Repo_Name}) dan pastikan benar-benar bisa mengunduh file dari sana. File resmi dari pengembang harus diterbitkan dan terlihat di repositori.
- Pastikan berada di halaman pengembang yang tepat di GitHub, GitLab atau repositori open-source lain. Biasanya proyek palsu memiliki perbedaan satu atau dua huruf dari aslinya, misalnya Chattdev dan bukan Chatdev.
- Hindari mengunduh aplikasi yang memiliki peringkat rendah dan baru dibuat
- Gunakan perlindungan terhadap malware dan phishing di semua komputer dan smartphone. Salah satu solusi yang dapat digunakan adalah Kaspersky Premium yang melindungi secara menyeluruh untuk gamer dan penggemar komputer
Demikianlah beberapa tips yang dapat dilakukan agar dapat senantiasa aman dari serangan berbahaya.