Los actores de amenazas utilizan cada vez más GitHub con fines maliciosos a través de métodos novedosos, incluido el abuso de Gists secretos y la emisión de comandos maliciosos a través de mensajes de confirmación de git.
«Los autores de malware ocasionalmente colocan sus muestras en servicios como Dropbox, Google Drive, OneDrive y Discord para alojar malware de segunda etapa y eludir herramientas de detección», afirma Karlo Zanki, investigador de ReversingLabs. dicho en un informe compartido con The Hacker News.
«Pero últimamente hemos observado un uso cada vez mayor de la plataforma de desarrollo de código abierto GitHub para alojar malware».
Se sabe que los actores de amenazas utilizan servicios públicos legítimos para alojar malware y actuar como solucionadores de caída muerta para recuperar la dirección de comando y control (C2) real.
Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad
Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes.
Si bien el uso de fuentes públicas para C2 no los hace inmunes a las eliminaciones, sí ofrecen el beneficio de permitir a los actores de amenazas crear fácilmente una infraestructura de ataque que sea económica y confiable.
Esta técnica es engañosa, ya que permite a los actores de amenazas combinar su tráfico de red malicioso con comunicaciones genuinas dentro de una red comprometida, lo que dificulta la detección y respuesta a las amenazas de manera efectiva. Como resultado, las posibilidades de que un punto final infectado que se comunica con un repositorio de GitHub sea marcado como sospechoso son menos probables.
El abuso de GitHub apunta a una evolución de esta tendencia. Los gists, que no son más que repositorios, ofrecen una manera fácil para que los desarrolladores compartan fragmentos de código con otros.
Vale la pena señalar en esta etapa que las esencias públicas aparecen en la página de GitHub. Descubre el feedmientras que las esencias secretas, aunque no se puede acceder a ellas a través de Discover, se pueden compartir con otros compartiendo su URL.
«Sin embargo, si alguien que no conoces descubre la URL, también podrá ver tu esencia», GitHub notas en su documentación. «Si necesita mantener su código alejado de miradas indiscretas, es posible que desee crear un repositorio privado».
Otro aspecto interesante de los secretos esenciales es que no se muestran en la página de perfil de GitHub del autor, lo que permite a los actores de amenazas aprovecharlos como una especie de servicio de Pastebin.
ReversingLabs dijo que identificó varios paquetes PyPI, a saber, httprequesthub, pyhttpproxifier, libsock, libproxy y libsocks5, que se hacían pasar por bibliotecas para manejar el proxy de red, pero contenían una URL codificada en Base64 que apuntaba a una esencia secreta alojada en una cuenta de GitHub desechable sin ningún proyectos de cara al público.
Gist, por su parte, presenta comandos codificados en Base64 que se analizan y ejecutan en un nuevo proceso a través de código malicioso presente en el archivo setup.py de los paquetes falsificados.
Trend Micro destacó previamente el uso de esencias secretas para entregar comandos maliciosos a hosts comprometidos en 2019 como parte de una campaña que distribuye una puerta trasera llamada SLUB (abreviatura de SLack y githUB).
Una segunda técnica observada por la empresa de seguridad de la cadena de suministro de software implica la explotación de las funciones del sistema de control de versiones, basándose en mensajes de confirmación de git para extraer comandos para su ejecución en el sistema.
El paquete PyPI, llamado easyhttprequest, incorpora código malicioso que «clona un repositorio git específico de GitHub y verifica si la confirmación ‘principal’ de este repositorio contiene un mensaje de confirmación que comienza con una cadena específica», dijo Zanki.
«Si lo hace, elimina esa cadena mágica y decodifica el resto del mensaje de confirmación codificado en Base64, ejecutándolo como un comando de Python en un nuevo proceso». El repositorio de GitHub que se clona es una bifurcación de un proyecto PySocks aparentemente legítimo y no tiene ningún mensaje de confirmación de git malicioso.
Todos los paquetes fraudulentos ahora se han eliminado del repositorio del índice de paquetes de Python (PyPI).
«El uso de GitHub como infraestructura C2 no es nuevo en sí mismo, pero el abuso de funciones como Git Gists y los mensajes de confirmación para la entrega de comandos son enfoques novedosos utilizados por actores maliciosos», dijo Zanki.