Tehdit aktörleri, gizli Gist’leri kötüye kullanmak ve git taahhüt mesajları aracılığıyla kötü amaçlı komutlar vermek de dahil olmak üzere yeni yöntemler aracılığıyla GitHub’u kötü amaçlarla giderek daha fazla kullanıyor.
ReversingLabs araştırmacısı Karlo Zanki, “Kötü amaçlı yazılım yazarları, ikinci aşama kötü amaçlı yazılımları ve yan adım tespit araçlarını barındırmak için zaman zaman örneklerini Dropbox, Google Drive, OneDrive ve Discord gibi hizmetlere yerleştiriyor.” söz konusu The Hacker News ile paylaşılan bir raporda.
“Ancak son zamanlarda GitHub açık kaynak geliştirme platformunun kötü amaçlı yazılım barındırmak için kullanımının arttığını gözlemledik.”
Meşru kamu hizmetlerinin, tehdit aktörleri tarafından kötü amaçlı yazılım barındırmak ve kötü amaçlı yazılım olarak hareket etmek için kullanıldığı bilinmektedir. ölü damla çözümleyiciler gerçek komut ve kontrol (C2) adresini almak için.
Yapay Zeka Destekli Tehditleri Sıfır Güvenle Yenmek – Güvenlik Profesyonelleri için Web Semineri
Günümüz dünyasında geleneksel güvenlik önlemleri bunu kesmeyecektir. Şimdi Sıfır Güven Güvenliği zamanı. Verilerinizi daha önce hiç olmadığı gibi koruyun.
C2 için kamu kaynaklarını kullanmak, onları yayından kaldırmaya karşı bağışıklı hale getirmese de, tehdit aktörlerinin hem ucuz hem de güvenilir bir saldırı altyapısını kolayca oluşturmasına olanak sağlama avantajını sunar.
Bu teknik, tehdit aktörlerinin kötü niyetli ağ trafiğini, güvenliği ihlal edilmiş bir ağdaki gerçek iletişimlerle harmanlamasına olanak tanıdığından sinsi bir tekniktir; bu da tehditleri etkili bir şekilde tespit etmeyi ve bunlara yanıt vermeyi zorlaştırır. Sonuç olarak, GitHub deposuyla iletişim kuran virüslü bir uç noktanın şüpheli olarak işaretlenme olasılığı daha düşüktür.
GitHub’un özünün kötüye kullanılması bu eğilimin evrimine işaret ediyor. Kendileri depolardan başka bir şey olmayan Gist’ler, geliştiricilere kod parçacıklarını başkalarıyla paylaşmanın kolay bir yolunu sunar.
Bu aşamada GitHub’ta genel bilgilerin ortaya çıktığını belirtmekte fayda var. Feed’i keşfedinGizli özler, Keşfet aracılığıyla erişilemese de, URL’si paylaşılarak başkalarıyla paylaşılabilir.
GitHub “Ancak, eğer tanımadığınız biri URL’yi keşfederse, o da sizin ana fikrinizi görebilir.” notlar belgelerinde. “Kodunuzu meraklı gözlerden uzak tutmanız gerekiyorsa bunun yerine özel bir depo oluşturmak isteyebilirsiniz.”
Gizli özlerin bir başka ilginç yönü de, bunların yazarın GitHub profil sayfasında görüntülenmemesidir; bu da tehdit aktörlerinin bunları bir tür yapıştırma hizmeti olarak kullanmalarına olanak tanır.
ReversingLabs, httprequesthub, pyhttpproxifier, libsock, libproxy ve libsocks5 gibi çeşitli PyPI paketlerini tanımladığını ve bu paketlerin ağ proxy’sini yönetmek için kitaplık olarak gizlendiğini, ancak herhangi bir kod olmadan tek kullanımlık bir GitHub hesabında barındırılan gizli bir öze işaret eden Base64 kodlu bir URL içerdiğini söyledi. halka açık projeler.
Ana fikir, sahte paketlerin setup.py dosyasında bulunan kötü amaçlı kod aracılığıyla yeni bir süreçte ayrıştırılan ve yürütülen Base64 kodlu komutları içeriyor.
Güvenliği ihlal edilmiş ana bilgisayarlara kötü amaçlı komutlar iletmek için gizli özlerin kullanılması, daha önce Trend Micro tarafından 2019’da SLUB (SLack ve githUB’un kısaltması) adı verilen bir arka kapı dağıtan bir kampanyanın parçası olarak vurgulanmıştı.
Yazılım tedarik zinciri güvenlik firması tarafından gözlemlenen ikinci bir teknik, sistemde yürütülecek komutları çıkarmak için git taahhüt mesajlarına güvenerek sürüm kontrol sistemi özelliklerinden yararlanılmasını içeriyor.
Zanki, easyhttprequest adlı PyPI paketinin “GitHub’dan belirli bir git deposunu klonlayan ve bu deponun ‘baş’ taahhüdünün belirli bir dizeyle başlayan bir taahhüt mesajı içerip içermediğini kontrol eden” kötü amaçlı kod içerdiğini söyledi.
“Eğer öyleyse, o sihirli dizeyi çıkarır ve Base64 kodlu taahhüt mesajının geri kalanının kodunu çözer ve bunu yeni bir süreçte bir Python komutu olarak çalıştırır.” Klonlanan GitHub deposu, görünüşte meşru bir PySocks projesinin bir çatalıdır ve herhangi bir kötü niyetli git taahhüt mesajı içermez.
Sahte paketlerin tümü artık Python Paket Dizini (PyPI) deposundan kaldırıldı.
Zanki, “GitHub’ı C2 altyapısı olarak kullanmak kendi başına yeni değil, ancak Git Gists gibi özelliklerin kötüye kullanılması ve komut dağıtımı için taahhüt mesajları, kötü niyetli aktörler tarafından kullanılan yeni yaklaşımlardır” dedi.
