GitHub 是评论全球最大的代码托管平台，全球各地的被用科技公司和开发者们在上面托管项目或源代码，项目维护者也可以开启评论功能让其他开发者提交建议或反馈问题。冒充

不过目前 GitHub 被发现了一个严重的微软问题网设计问题，有攻击者利用项目评论功能冒充微软等公司来分发恶意软件，托管并且这种情况已经持续有一段时间了。恶意

为什么说是设计问题：

以微软托管在 GitHub 上的 vcpkg 项目为例，这个项目开启了 issues 反馈，解决用户提交一个新的蓝点 issue 后其他用户可以在下面评论。

评论功能支持附带文件，评论例如当上传一个名为 Cheat.Lab.2.7.2.zip 的被用文件时，GitHub 将会这个文件生成永久 URL 并附加在 vcpkg 项目下。冒充

即便用户删除评论这个文件也会被保留下来并继续提供永久访问，微软问题网甚至用户都不需要真提交评论，托管直接上传文件就好了。恶意

这样这个恶意文件就可以通过 https://github [.] com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip 下载。

由于这个地址看起来就像是微软官方的文件，因此在一些场合中更容易钓鱼，这也是为什么黑客看中 GitHub 这个功能并进行滥用的原因。

项目所有者不知情：

正如上文提到的那样，上传一个文件不用真发布评论，或者发布后立即删除就可以获取这个文件的永久链接，而项目的维护者是不知道自己的项目路径下还存在这种恶意软件的。

从某些方面来说这可能也会对一些公司的声誉造成影响，问题是这个问题还不太容易解决，因为它属于 GitHub 的设计问题，GitHub 显然不能一刀切直接关闭这个功能。

所以后续 GitHub 如何解决问题还是个难题，可能需要专门新建一个临时文件路径来托管这些文件，这样不影响使用但也不会托管在其他路径下。

• ·《八方旅人》IGN评分9.3 switch平台独占神作
• ·赌个5毛钱的 《仙变2》足游奥秘职业震惊开启
• ·贾跃亭FF拟正在好上市 旗舰车型FF91已获超越1.4万订单
• ·无贫逝世斗战逝世圆戚《魔力期间》光枯之战副本震惊开启
• ·《勇敢小骑士》“火箭背包”玩法演示预告公布
• ·卡牌新解释 《小小三国志》安卓版嫡尾收上线
• ·threezero X 竹谷隆之《传讲巨人伊迪安》开金成品模型 卖价6488元
• ·光系邪术的光枯 《刀塔传奇》天喜法师足艺视频暴光
• ·《忍者之印》重制版今年秋季发售 新增角色和物品
• ·《三国志12：能力减强版》9月出售 计谋减深细节先容
• ·宜家联袂ROG玩家国度齐球尾收电竞家具及家居产品系列
• ·蒲月陪您豪情《少年三国志》最新跨服争霸赛弄法详解
• ·通天塔正式登陆《无主王座》小游戏激发玩家无限潜能
• ·闭卡任务多重窜改 3k玩《白刃OL》新剧情暴光
• ·E3 2013：《极品飞车18：夙敌（Need for Speed: Rivals）》齐新细节公布 支撑微硬体感弄法 PS4版可分享视频
• ·华纳注册《中土天下：暗影魔多/战役之影》复恩体系专利引其他开辟商没有谦