Cibercriminosos estão abusando cada vez mais do GitHub para fins maliciosos. A verdade é que a onipresença do GitHub em ambientes de tecnologia da informação (TI) tornou-o uma escolha lucrativa para os agentes de ameaças hospedarem e entregarem cargas maliciosas e atuarem como resolvedores de dead drop, comando e controle e pontos de exfiltração de dados.
GitHub usado para fins maliciosos
O uso de serviços GitHub para infraestrutura maliciosa permite que adversários se misturem ao tráfego de rede legítimo, muitas vezes contornando as defesas de segurança tradicionais e dificultando o rastreamento da infraestrutura upstream e a atribuição de atores.
Recorded Future, em um relatório compartilhado com The Hacker News.
A empresa de segurança cibernética descreveu a abordagem como “viver fora de sites confiáveis” (LOTS), uma versão das técnicas de viver fora da terra (LotL) frequentemente adotadas por atores de ameaças para ocultar atividades desonestas e passar despercebidas.
Notícias Relacionadas
ColorOS 15
ColorOS 15 será lançado em 17 de outubro!
A Oppo anunciou oficialmente a data para sua Oppo Developer Conference (ODC) anual. Na ocasião, a empresa deve lançar o ColorOS15. O evento acontecerá emra 17 de outubro, a aproximadamente um mês de distância. Lançamento do ColorOS 15 A principal atração do evento da Oppo será a revelação do ColorOS 15. A próxima atualização de […]
Extensões Microsoft Edge
Microsoft Edge: extensões que causam problemas de desempenho serão sinalizadas
A Microsoft está testando um novo recurso no navegador Edge chamado “detector de desempenho de extensão”. Esse novo recurso avisa quando as extensões do navegador causam problemas de desempenho nas páginas da web que você visita. Detecção de desempenho de extensões do Microsoft Edge Quando extensões de navegador são instaladas, elas geralmente processam páginas visitadas […]
Um dos métodos pelos quais o GitHub é abusado está relacionado à entrega de carga útil, com alguns atores aproveitando seus recursos para ofuscação de comando e controle (C2). No mês passado, o ReversingLabs detalhou uma série de pacotes Python desonestos que dependiam de uma essência secreta hospedada no GitHub para receber comandos maliciosos nos hosts comprometidos.
Embora as implementações C2 completas no GitHub sejam incomuns em comparação com outros esquemas de infraestrutura, seu uso pelos agentes de ameaças como um resolvedor de dead drop – em que as informações de um repositório GitHub controlado pelo ator são usadas para obter o URL C2 real – é muito mais prevalente, como evidenciado no caso de malware como Drokbk e ShellBox.
Mais abuso do GitHub
Também raramente observado é o abuso do GitHub para exfiltração de dados, o que, de acordo com o Recorded Future, é provavelmente devido ao tamanho do arquivo e às limitações de armazenamento e às preocupações com a capacidade de descoberta. Fora destes quatro esquemas principais, as ofertas da plataforma são utilizadas de várias outras formas, a fim de satisfazer fins relacionados com a infraestrutura. Por exemplo, as páginas do GitHub têm sido usadas como hosts de phishing ou redirecionadores de tráfego, com algumas campanhas utilizando um repositório GitHub como canal C2 de backup.
O desenvolvimento fala da tendência mais ampla de serviços legítimos de Internet, como Google Drive, Microsoft OneDrive, Dropbox, Notion, Firebase, Trello e Discord, sendo explorados por agentes de ameaças. Isso também inclui outras plataformas de código-fonte e controle de versão, como GitLab , BitBucket e Codeberg.
