Издание Recorded Future представило отчёт, который утверждает, что платформа GitHub становится всё более популярным инструментом для хакеров, которые используют её для размещения и распространения вредоносов.
Авторы отчёта описали тактику «Living Off Trusted Sites» (LOTS), модификацию техники «Living off the Land» (LotL). Она позволяет хакерам маскировать свои действия под легитимный сетевой трафик, что затрудняет отслеживание и идентификацию злоумышленников.
Именно доставка вредоносов стала самым популярным способом злоупотреблений на GitHub. Ранее компания ReversingLabs сообщала о внедрении на платформу ряда поддельных Python-пакетов, которые получали вредоносные команды из секретных репозиториев. Также сообщалось об инциденте безопасности, когда злоумышленник смог захватить управление над проектами arrapi, tmdbapis, nagerapi и pmmutils путём компрометации учётной записи сопровождающего.
Эксперты также рассказали об использовании GitHub для выгрузки данных, что, по мнению Recorded Future, связано с ограничениями на размер файлов и опасениями обнаружения.
Наконец, GitHub Pages иногда применяют в качестве хостов для фишинга или перенаправления трафика, а также как резервный канал управления.
В Recorded Future выделяют общую тенденцию к эксплуатации злоумышленниками легитимных сервисов и платформ, таких как Google Drive, Microsoft OneDrive, Dropbox, Notion, Firebase, Trello, Discord, GitLab, BitBucket, Codeberg.
По мнению экспертов, единого решения для выявления злоупотреблений не существует. Они советуют внедрять стратегии обнаружения, которые будут зависеть от конкретной среды, доступности журналов, структуры организации, моделей использования сервиса и уровня риска.
