威脅行為者越來越多地通過新穎的方法將 GitHub 用於惡意目的,包括濫用秘密 gist 和通過 git commit 訊息發出惡意命令。
惡意軟體作者偶爾會將他們的樣本放在 Dropbox、Google Drive、OneDrive 和 Discord 等服務中,以託管第二階段惡意軟體和規避檢測工具,“ReversingLabs 研究員 Karlo Zanki 在與 The Hacker News 分享的乙份報告中說。
但最近,我們觀察到越來越多地使用 GitHub 開源開發平台來託管惡意軟體。
眾所周知,威脅參與者使用合法的公共服務來託管惡意軟體,並充當死點解析器來獲取實際的命令和控制 (C2) 位址。
雖然將公共資源用於 C2 並不能使它們免於刪除,但它們確實提供了允許威脅行為者輕鬆建立既便宜又可靠的攻擊基礎設施的好處。
這種技術是偷偷摸摸的,因為它允許威脅行為者將其惡意網路流量與受感染網路內的真實通訊混合在一起,這使得以有效的方式檢測和響應威脅變得具有挑戰性。 因此,與 GitHub 儲存庫通訊的受損終結點不太可能被標記為可疑。
GitHub Gist 的濫用表明了這一趨勢的演變。 要點本身只不過是乙個儲存庫,它為開發人員提供了一種與他人共享程式碼片段的簡單方法。
值得注意的是,在這個階段,公共 gist 顯示在 GitHub 的 discover feed 中,而秘密 gist 雖然無法通過 discover 訪問,但可以通過共享他們的 URL 與他人共享。
但是,如果你不認識的人找到了這個 URL,他們也將能夠看到你的要點,“GitHub 在其文件中指出。 “如果你需要讓你的**不被窺探,你可能想建立乙個私有儲存庫。
秘密要點的另乙個有趣的方面是,它們不會出現在作者的 GitHub 個人資料頁面中,使威脅行為者能夠將它們用作某種貼上服務。
ReversingLabs 表示,它發現了幾個 PyPi 包——即 HttpRequestHub、PyhttpProxifier、LiBSock、LiBSoxi 和 LiBSocks5——它們偽裝成用於處理 Web 的庫,但包含乙個 Base64 編碼的 URL,指向託管在一次性 GitHub 帳戶中的秘密 Gist,沒有任何面向公眾的專案。
就其本身而言,gist 具有 base64 編碼的命令,這些命令通過虛假包的設定進行傳遞py 檔案中的惡意 ** 在新程序中解析並執行。
趨勢科技此前曾在 2019 年強調使用秘密 gist 向受感染的主機傳送惡意命令,作為分發名為 SLUB(Slack 和 GitHub 的縮寫)的後門的活動的一部分。
Software Chain Security 觀察到的第二種技術需要使用版本控制系統功能,依靠 git commit 訊息來提取命令以在系統上執行。
Zanki 說,名為 EasyHttpRequest 的 pypi 包包含惡意的“從 GitHub 轉殖特定 Git 儲存庫並檢查該儲存庫”。'head'提交是否包含以特定字串開頭的提交訊息。
如果是這樣,它會剝離這個魔術字串並解碼 base64 編碼的提交訊息的其餘部分,在新程序中將其作為 python 命令執行。 “轉殖的 github 儲存庫是 Pysocks 專案的乙個分支,看起來是合法的,它沒有任何惡意的 git 提交訊息。
所有欺詐性軟體包現在都已從 Python 軟體包索引 (PYPI) 儲存庫中刪除。
使用 GitHub 作為 C2 基礎設施本身並不是什麼新鮮事,但濫用 Git Gist 和提交訊息等功能進行命令傳遞是惡意行為者使用的一種新方法,“Zanki 說。