Cibercriminosos estão abusando cada vez mais do GitHub para fins maliciosos. A verdade é que a onipresença do GitHub em ambientes de tecnologia da informação (TI) tornou-o uma escolha lucrativa para os agentes de ameaças hospedarem e entregarem cargas maliciosas e atuarem como resolvedores de dead drop, comando e controle e pontos de exfiltração de dados.
GitHub usado para fins maliciosos
O uso de serviços GitHub para infraestrutura maliciosa permite que adversários se misturem ao tráfego de rede legítimo, muitas vezes contornando as defesas de segurança tradicionais e dificultando o rastreamento da infraestrutura upstream e a atribuição de atores.
Recorded Future, em um relatório compartilhado com The Hacker News.
A empresa de segurança cibernética descreveu a abordagem como “viver fora de sites confiáveis” (LOTS), uma versão das técnicas de viver fora da terra (LotL) frequentemente adotadas por atores de ameaças para ocultar atividades desonestas e passar despercebidas.
Um dos métodos pelos quais o GitHub é abusado está relacionado à entrega de carga útil, com alguns atores aproveitando seus recursos para ofuscação de comando e controle (C2). No mês passado, o ReversingLabs detalhou uma série de pacotes Python desonestos que dependiam de uma essência secreta hospedada no GitHub para receber comandos maliciosos nos hosts comprometidos.
Embora as implementações C2 completas no GitHub sejam incomuns em comparação com outros esquemas de infraestrutura, seu uso pelos agentes de ameaças como um resolvedor de dead drop – em que as informações de um repositório GitHub controlado pelo ator são usadas para obter o URL C2 real – é muito mais prevalente, como evidenciado no caso de malware como Drokbk e ShellBox.
Mais abuso do GitHub
Também raramente observado é o abuso do GitHub para exfiltração de dados, o que, de acordo com o Recorded Future, é provavelmente devido ao tamanho do arquivo e às limitações de armazenamento e às preocupações com a capacidade de descoberta. Fora destes quatro esquemas principais, as ofertas da plataforma são utilizadas de várias outras formas, a fim de satisfazer fins relacionados com a infraestrutura. Por exemplo, as páginas do GitHub têm sido usadas como hosts de phishing ou redirecionadores de tráfego, com algumas campanhas utilizando um repositório GitHub como canal C2 de backup.
O desenvolvimento fala da tendência mais ampla de serviços legítimos de Internet, como Google Drive, Microsoft OneDrive, Dropbox, Notion, Firebase, Trello e Discord, sendo explorados por agentes de ameaças. Isso também inclui outras plataformas de código-fonte e controle de versão, como GitLab , BitBucket e Codeberg.