GitHub и киберпреступность: как популярная платформа для разработчиков внезапно стала лучшим другом тёмных хакеров

Карло Занки, эксперт по кибербезопасности из компании ReversingLabs, обнаружил новый тренд, который в последнее время используют многие киберпреступники. Суть тренда состоит в злонамеренной эксплуатации платформы GitHub для распространения вредоносного ПО.

В своём отчёте Занки отметил, что ранее авторы вредоносных программ часто размещали экземпляры своих вредоносов на таких платформах, как Dropbox, Google Drive, OneDrive и Discord. Но недавно было зафиксировано увеличение использования GitHub в качестве непосредственного хоста для зловредного софта.

Киберпреступники всегда предпочитали публичные сервисы для размещения и функционирования вредоносного ПО. Их использование делает вредоносную инфраструктуру сложноотключаемой, ведь никто же не будет блокировать Google Drive целиком, лишь бы заблокировать работу какого-нибудь опасного ботнета.

Публичные сервисы также позволяют злоумышленникам смешивать свой вредоносный сетевой трафик с законными коммуникациями в скомпрометированной сети, что дополнительно затрудняет обнаружение угроз и своевременное реагирование на них.

Так, злоупотребление сервисом хранения фрагментов кода Gist на GitHub указывает на эволюцию этой тенденции. Что может быть удобнее для тёмного хакера, чем хранить свой вредоносный код в подобных мини-репозиториях и безопасно доставлять его на скомпрометированный хост по требованию.

ReversingLabs выявила несколько пакетов на платформе PyPI — «httprequesthub», «pyhttpproxifier», «libsock», «libproxy» и «libsocks5» — которые маскируются под библиотеки для обработки прокси-сетей, но содержат URL-адрес, закодированный в Base64, ведущий к секретному Gist, размещённому в одноразовом аккаунте GitHub без публичных проектов.

Также исследователи обнаружили и другой метод эксплуатации GitHub, активно используемый злоумышленниками. Здесь уже замешаны функции системы контроля версий. В нём хакеры полагаются на сообщения с историей изменений по нажатию кнопки «Git commit» для извлечения команд из них вредоносным ПО и последующим выполнением в заражённой системе.

Ключевым моментом является то, что вредонос, размещённый на уже скомпрометированном компьютере, сканирует историю коммитов конкретного репозитория на определённые сообщения. Эти сообщения коммитов содержат скрытые команды, которые затем извлекаются софтом и выполняются на компьютере жертвы.

Занки подчёркивает, что само по себе использование GitHub в качестве C2-инфраструктуры отнюдь не является новинкой, но вот злоупотребление такими функциями, как Gists и Git commit, представляет собой новаторские подходы, всё чаще используемые киберпреступниками в последнее время.

Использование популярных и надёжных платформ, таких как GitHub, в качестве инфраструктуры для киберпреступности — весьма тревожная тенденция, демонстрирующая изобретательность злоумышленников.

Хотя сами сервисы защищены и надёжны, киберпреступники постоянно находят разнообразные лазейки для внедрения вредоносного кода и C2-команд. Это сигнал к действию как для компаний, так и для пользователей — нужно повышать бдительность и использовать современные средства защиты от угроз.