GitHub, una piattaforma ampiamente utilizzata negli ambienti IT, sta diventando sempre più un obiettivo per gli attori minacciosi che la usano per ospitare e consegnare payload dannosi, oltre a servire come punti di command-and-control e di esfiltrazione dei dati.
Malware e Tattiche di Camuffamento
Secondo Recorded Future, l’uso di GitHub per infrastrutture malevole permette agli avversari di mescolarsi con il traffico di rete legittimo, spesso eludendo le difese di sicurezza tradizionali e rendendo più difficile il tracciamento dell’infrastruttura e l’attribuzione degli attori. Questo approccio è descritto come “living-off-trusted-sites” (LOTS), una variante delle tecniche “living-off-the-land” (LotL) spesso adottate dagli attori minacciosi per nascondere attività illecite e passare inosservati.
Metodi di Abuso e Offuscamento
GitHub è utilizzato principalmente per la consegna di payload, con alcuni attori che sfruttano le sue funzionalità per l’obfuscamento del command-and-control (C2). Ad esempio, ReversingLabs ha recentemente evidenziato alcuni pacchetti Python canaglia che si affidavano a un gist segreto ospitato su GitHub per ricevere comandi dannosi sui dispositivi compromessi.
L’Utilizzo di GitHub come Dead Drop Resolver
L’uso di GitHub come “dead drop resolver”, dove le informazioni da un repository controllato dall’attore vengono usate per ottenere l’URL effettivo del C2, è molto più diffuso, come dimostrato nel caso di malware come Drokbk e ShellBox. L’abuso di GitHub per l’esfiltrazione dei dati è meno comune, probabilmente a causa delle limitazioni di dimensione dei file e delle preoccupazioni sulla scoperta.
Diversi Usi per scopi di infrastruttura
Le offerte di GitHub vengono utilizzate in vari modi per scopi legati all’infrastruttura, come l’hosting di pagine phishing o il reindirizzamento del traffico. Alcune campagne utilizzano un repository GitHub come canale di backup C2.
Tendenza Più Ampia nell’Abuso di Servizi Internet Legittimi
Questo sviluppo è parte di una tendenza più ampia che vede i servizi Internet legittimi come Google Drive, Microsoft OneDrive, Dropbox, Notion, Firebase, Trello e Discord essere sfruttati dagli attori minacciosi. Questo include anche altre piattaforme di codice sorgente e di controllo delle versioni come GitLab, BitBucket e Codeberg.
Rilevamento dell’Abuso di GitHub
Non esiste una soluzione universale per il rilevamento dell’abuso di GitHub. È necessaria una combinazione di strategie di rilevamento, influenzate da ambienti specifici e fattori come la disponibilità di log, la struttura organizzativa, i modelli di utilizzo dei servizi e la tolleranza al rischio.