La ubicuidad de GitHub en entornos de tecnología de la información (TI) lo ha convertido en una opción lucrativa para que los actores de amenazas alojen y entreguen cargas útiles maliciosas y actúen como solucionadores de caída muertacomando y control y puntos de exfiltración de datos.
“El uso de los servicios de GitHub para infraestructura maliciosa permite a los adversarios mezclarse con el tráfico de red legítimo, a menudo eludiendo las defensas de seguridad tradicionales y dificultando el seguimiento de la infraestructura ascendente y la atribución de actores”, Recorded Future dicho en un informe compartido con The Hacker News.
La firma de ciberseguridad describió el enfoque como “vivir en sitios confiables” (LOTS), un giro de las técnicas de vivir en la tierra (LotL) que a menudo adoptan los actores de amenazas para ocultar actividades deshonestas y pasar desapercibidas.
Destacado entre los métodos mediante los cuales se abusa de GitHub se relaciona a la carga útil entrega, y algunos actores aprovechan sus funciones para ofuscar el comando y control (C2). El mes pasado, ReversingLabs detalló una serie de paquetes maliciosos de Python que dependían de una esencia secreta alojada en GitHub para recibir comandos maliciosos en los hosts comprometidos.
Mientras completamente desarrollado o establecido Las implementaciones de C2 en GitHub son poco comunes en comparación con otros esquemas de infraestructura; su uso por parte de los actores de amenazas como un sistema de resolución muerta (en el que la información de un repositorio de GitHub controlado por el actor se utiliza para obtener la URL C2 real) es mucho más frecuente, ya que evidenciado en el caso de malware como Drokbk y ShellBox.
También raramente se observa la abuso de GitHub para la exfiltración de datos, que, según Recorded Future, probablemente se deba al tamaño del archivo y las limitaciones de almacenamiento y a las preocupaciones sobre la capacidad de descubrimiento.
Fuera de estos cuatro esquemas principales, las ofertas de la plataforma se utilizan de otras maneras para cumplir con propósitos relacionados con la infraestructura. Por ejemplo, las páginas de GitHub se han utilizado como hosts de phishing o redireccionadores de tráficoy algunas campañas utilizan un repositorio de GitHub como canal C2 de respaldo.
El desarrollo habla de la tendencia más amplia de que servicios legítimos de Internet como Google Drive, Microsoft OneDrive, Dropbox, Notion, Firebase, Trello y Discord sean explotados por actores de amenazas. Esto también incluye otras plataformas de control de versiones y código fuente como GitLab, BitBucket y Codeberg.
“No existe una solución universal para la detección de abusos en GitHub”, dijo la compañía. “Se necesita una combinación de estrategias de detección, influenciadas por entornos y factores específicos como la disponibilidad de registros, la estructura organizacional, los patrones de uso del servicio y la tolerancia al riesgo, entre otros”.