La ubicuidad de GitHub en entornos de tecnología de la información (TI) lo ha convertido en una opción lucrativa para que los actores de amenazas alojen y entreguen cargas útiles maliciosas y actúen como solucionadores de caída muertacomando y control y puntos de exfiltración de datos.
«El uso de los servicios de GitHub para infraestructura maliciosa permite a los adversarios mezclarse con el tráfico de red legítimo, a menudo eludiendo las defensas de seguridad tradicionales y dificultando el seguimiento de la infraestructura ascendente y la atribución de actores», Recorded Future dicho en un informe compartido con The Hacker News.
La firma de ciberseguridad describió el enfoque como «vivir en sitios confiables» (LOTS), un giro de las técnicas de vivir en la tierra (LotL) que a menudo adoptan los actores de amenazas para ocultar actividades deshonestas y pasar desapercibidas.
Destacado entre los métodos por los cuales GitHub es abusado se relaciona a carga útil entrega, y algunos actores aprovechan sus funciones para ofuscar el comando y control (C2). El mes pasado, ReversingLabs detallado una serie de paquetes de Python maliciosos que dependían de una esencia secreta alojada en GitHub para recibir comandos maliciosos en los hosts comprometidos.
Mientras completamente desarrollado o establecido Implementaciones C2 en GitHub son poco comunes en comparación con otros esquemas de infraestructura, su uso por parte de actores de amenazas como solucionador de caída muerta – en el que la información de un repositorio de GitHub controlado por un actor se utiliza para obtener la URL C2 real – es mucho más frecuente, como se evidencia en el caso de malware como Drokbk y Caja de conchas.
También raramente se observa la abuso de GitHub para exfiltración de datoslo cual, según Recorded Future, probablemente se deba al tamaño del archivo y las limitaciones de almacenamiento y a preocupaciones sobre la capacidad de descubrimiento.
Fuera de estos cuatro esquemas principales, las ofertas de la plataforma se utilizan de otras maneras para cumplir con propósitos relacionados con la infraestructura. Por ejemplo, las páginas de GitHub se han utilizado como hosts de phishing o redireccionadores de tráficoy algunas campañas utilizan un repositorio de GitHub como canal C2 de respaldo.
El desarrollo habla de la más amplio tendencia de servicios de Internet legítimos como Google Drive, Microsoft OneDrive, Dropbox, Notion, Firebase, Trello y Discord siendo explotados por actores de amenazas. Esto también incluye otros códigos fuente y plataformas de control de versiones como GitLab, BitBuckety Códigoberg.
«No existe una solución universal para la detección de abusos en GitHub», dijo la compañía. «Se necesita una combinación de estrategias de detección, influenciadas por entornos y factores específicos como la disponibilidad de registros, la estructura organizacional, los patrones de uso del servicio y la tolerancia al riesgo, entre otros».