L’omniprésence de GitHub dans les environnements informatiques en a fait un choix lucratif pour les acteurs malveillants qui souhaitent héberger et diffuser des charges utiles malveillantes et agir comme résolveurs de chute mortede commandement et de contrôle et d’exfiltration de données.
« L’utilisation des services GitHub pour une infrastructure malveillante permet aux adversaires de se fondre dans le trafic réseau légitime, contournant souvent les défenses de sécurité traditionnelles et rendant plus difficile le suivi de l’infrastructure en amont et l’attribution des acteurs », a déclaré Recorded Future. dit dans un rapport partagé avec The Hacker News.
La société de cybersécurité a décrit l’approche comme « vivre hors de sites de confiance » (LOTS), une variante des techniques de vie hors du terrain (LotL) souvent adoptées par les acteurs malveillants pour dissimuler des activités malveillantes et passer inaperçues.
Parmi les méthodes par lesquelles GitHub est utilisé de manière abusive se rapporte à la charge utile livraison, certains acteurs tirant parti de ses fonctionnalités pour l’obscurcissement du commandement et du contrôle (C2). Le mois dernier, ReversingLabs a détaillé un certain nombre de packages Python malveillants qui s’appuyaient sur un contenu secret hébergé sur GitHub pour recevoir des commandes malveillantes sur les hôtes compromis.
Alors que à part entière Les implémentations C2 dans GitHub sont rares par rapport à d’autres schémas d’infrastructure, son utilisation par les acteurs de la menace comme résolveur de chute morte – dans lequel les informations d’un référentiel GitHub contrôlé par l’acteur sont utilisées pour obtenir l’URL C2 réelle – est beaucoup plus répandue, car en témoigne le cas de logiciels malveillants comme Drokbk et ShellBox.
On observe également rarement le abus de GitHub pour l’exfiltration de données, ce qui, selon Recorded Future, est probablement dû à la taille des fichiers et aux limitations de stockage et aux préoccupations concernant la découvrabilité.
En dehors de ces quatre schémas principaux, les offres de la plateforme sont utilisées de diverses autres manières afin de répondre à des objectifs liés aux infrastructures. Par exemple, les pages GitHub ont été utilisées comme hôtes de phishing ou redirecteurs de traficcertaines campagnes utilisant un référentiel GitHub comme canal C2 de secours.
Cette évolution témoigne de la tendance plus large selon laquelle des services Internet légitimes tels que Google Drive, Microsoft OneDrive, Dropbox, Notion, Firebase, Trello et Discord sont exploités par des acteurs malveillants. Cela inclut également d’autres plates-formes de code source et de contrôle de version telles que GitLab, BitBucket et Codeberg.
« Il n’existe pas de solution universelle pour détecter les abus sur GitHub », a déclaré la société. « Une combinaison de stratégies de détection est nécessaire, influencée par des environnements spécifiques et des facteurs tels que la disponibilité des journaux, la structure organisationnelle, les modèles d’utilisation des services et la tolérance au risque, entre autres. »