Cibercriminosos estão cada vez mais usando o GitHub para fins maliciosos por meio de novos métodos, incluindo o abuso de Gists secretos e a emissão de comandos maliciosos por meio de mensagens de commit do git.
GitHub sendo usado para fins maliciosos
Os autores de malware ocasionalmente colocam suas amostras em serviços como Dropbox, Google Drive, OneDrive e Discord para hospedar malware de segundo estágio e evitar ferramentas de detecção.
Mas ultimamente temos observado o uso crescente da plataforma de desenvolvimento de código aberto GitHub para hospedar malware.
Karlo Zanki, pesquisador do ReversingLabs.
Serviços públicos legítimos são conhecidos por serem usados por atores de ameaças por hospedar malware e agir como resolvedores inoperantes para buscar o endereço real de comando e controle (C2). Embora o uso de fontes públicas para C2 não os torne imunes a remoções, eles oferecem o benefício de permitir que os agentes de ameaças criem facilmente uma infraestrutura de ataque que seja barata e confiável.
Essa técnica é sorrateira, pois permite que os agentes de ameaças combinem seu tráfego de rede malicioso com comunicações genuínas dentro de uma rede comprometida, tornando difícil detectar e responder a ameaças de maneira eficaz. Como resultado, as chances de um endpoint infectado se comunicar com um repositório GitHub ser sinalizado como suspeito são menos prováveis.
O abuso dos recursos do GitHub aponta para uma evolução dessa tendência. Gists, que nada mais são do que repositórios, oferecem uma maneira fácil para os desenvolvedores compartilharem trechos de código com outras pessoas.
Vale salientar que os resumos públicos aparecem no feed do Discover do GitHub, enquanto os resumos secretos, embora não seja acessível via Discover, pode ser compartilhado com outras pessoas compartilhando seu URL.
“No entanto, se alguém que você não conhece descobrir o URL, também poderá ver sua essência,” GitHub notas em sua documentação. “Se você precisa manter seu código longe de olhares indiscretos, você pode criar um repositório privado.”
Mais a observar
Outro aspecto interessante das essências secretas é que elas não são exibidas na página de perfil do autor no GitHub, permitindo que os agentes da ameaça as utilizem como uma espécie de serviço pastebin. O ReversingLabs disse que identificou vários pacotes PyPI – nomeadamente, httprequesthub, pyhttpproxifier, libsock, libproxy e libsocks5 – que se disfarçavam como bibliotecas para lidar com proxy de rede, mas continham uma URL codificada em Base64 apontando para uma essência secreta hospedada em uma conta descartável do GitHub sem qualquer projetos voltados para o público.
A essência, por sua vez, apresenta comandos codificados em Base64 que são analisados ??e executados em um novo processo por meio de código malicioso presente no arquivo setup.py dos pacotes falsificados. O uso de gists secretos para entregar comandos maliciosos a hosts comprometidos foi destacado anteriormente pela Trend Micro em 2019 como parte de uma campanha de distribuição de um backdoor chamado SLUB (abreviação de SLack e githUB).
Uma segunda técnica observada pela empresa de segurança da cadeia de fornecimento de software envolve a exploração de recursos do sistema de controle de versão, contando com mensagens de commit do git para extrair comandos para execução no sistema.
O pacote PyPI, denominado easyhttprequest, incorpora código malicioso que “clona um repositório git específico do GitHub e verifica se o ‘head’ commit deste repositório contém uma mensagem de commit que começa com uma string específica, disse Zanki.
Todos os pacotes fraudulentos foram retirados do repositório Python Package Index (PyPI).
