Cibercriminosos abusam cada vez mais do GitHub para fins maliciosos

GitHub apresenta teste de segurança impulsionado por Inteligência Artificial

Cibercriminosos estão abusando cada vez mais do GitHub para fins maliciosos. A verdade é que a onipresença do GitHub em ambientes de tecnologia da informação (TI) tornou-o uma escolha lucrativa para os agentes de ameaças hospedarem e entregarem cargas maliciosas e atuarem como resolvedores de dead drop, comando e controle e pontos de exfiltração de dados.

GitHub usado para fins maliciosos

O uso de serviços GitHub para infraestrutura maliciosa permite que adversários se misturem ao tráfego de rede legítimo, muitas vezes contornando as defesas de segurança tradicionais e dificultando o rastreamento da infraestrutura upstream e a atribuição de atores.

Recorded Future, em um relatório compartilhado com The Hacker News.

A empresa de segurança cibernética descreveu a abordagem como “viver fora de sites confiáveis” (LOTS), uma versão das técnicas de viver fora da terra (LotL) frequentemente adotadas por atores de ameaças para ocultar atividades desonestas e passar despercebidas.

Um dos métodos pelos quais o GitHub é abusado está relacionado à entrega de carga útil, com alguns atores aproveitando seus recursos para ofuscação de comando e controle (C2). No mês passado, o ReversingLabs detalhou uma série de pacotes Python desonestos que dependiam de uma essência secreta hospedada no GitHub para receber comandos maliciosos nos hosts comprometidos.

cibercriminosos-abusam-cada-vez-mais-do-github-para-fins-maliciosos

Embora as implementações C2 completas no GitHub sejam incomuns em comparação com outros esquemas de infraestrutura, seu uso pelos agentes de ameaças como um resolvedor de dead drop – em que as informações de um repositório GitHub controlado pelo ator são usadas para obter o URL C2 real – é muito mais prevalente, como evidenciado no caso de malware como Drokbk e ShellBox.

Mais abuso do GitHub

Também raramente observado é o abuso do GitHub para exfiltração de dados, o que, de acordo com o Recorded Future, é provavelmente devido ao tamanho do arquivo e às limitações de armazenamento e às preocupações com a capacidade de descoberta. Fora destes quatro esquemas principais, as ofertas da plataforma são utilizadas de várias outras formas, a fim de satisfazer fins relacionados com a infraestrutura. Por exemplo, as páginas do GitHub têm sido usadas como hosts de phishing ou redirecionadores de tráfego, com algumas campanhas utilizando um repositório GitHub como canal C2 de backup.

O desenvolvimento fala da tendência mais ampla de serviços legítimos de Internet, como Google Drive, Microsoft OneDrive, Dropbox, Notion, Firebase, Trello e Discord, sendo explorados por agentes de ameaças. Isso também inclui outras plataformas de código-fonte e controle de versão, como GitLab , BitBucket e Codeberg.