Bedreigingsactoren maken steeds vaker gebruik van GitHub voor kwaadaardige doeleinden via nieuwe methoden, waaronder het misbruiken van geheime Gists en het geven van kwaadaardige commando’s via git commit-berichten.
“Malware-auteurs plaatsen hun samples af en toe in services als Dropbox, Google Drive, OneDrive en Discord om malware in de tweede fase te hosten en detectietools te omzeilen”, zei ReversingLabs-onderzoeker Karlo Zanki in een rapport gedeeld met The Hacker News.
“Maar de laatste tijd hebben we het toenemende gebruik van het open-source ontwikkelplatform GitHub voor het hosten van malware waargenomen.”
Het is bekend dat legitieme openbare diensten door bedreigingsactoren worden gebruikt voor het hosten van malware en optreden als dead drop-resolvers om het feitelijke command-and-control (C2)-adres op te halen.
Hoewel het gebruik van openbare bronnen voor C2 hen niet immuun maakt voor verwijderingen, bieden ze wel het voordeel dat bedreigingsactoren eenvoudig een aanvalsinfrastructuur kunnen creëren die zowel goedkoop als betrouwbaar is.
Deze techniek is sluw omdat cybercriminelen hierdoor hun kwaadaardige netwerkverkeer kunnen combineren met echte communicatie binnen een gecompromitteerd netwerk, waardoor het een uitdaging wordt om bedreigingen op een effectieve manier te detecteren en erop te reageren. Als gevolg hiervan is de kans kleiner dat een geïnfecteerd eindpunt dat communiceert met een GitHub-repository als verdacht wordt gemarkeerd.
Het misbruik van GitHub wijst op een evolutie van deze trend. Gists, die zelf niets anders zijn dan repository’s, bieden ontwikkelaars een gemakkelijke manier om codefragmenten met anderen te delen.
Het is de moeite waard om in dit stadium op te merken dat publieke gisten verschijnen in de Discover-feed van GitHub, terwijl geheime gisten, hoewel niet toegankelijk via Discover, met anderen kunnen worden gedeeld door de URL ervan te delen.
“Als iemand die je niet kent echter de URL ontdekt, kan hij of zij ook jouw essentie zien”, merkt GitHub op in de documentatie. “Als je je code uit de buurt van nieuwsgierige blikken wilt houden, wil je misschien in plaats daarvan een privérepository maken.”
Een ander interessant aspect van geheime kernen is dat ze niet worden weergegeven op de GitHub-profielpagina van de auteur, waardoor bedreigingsactoren ze kunnen gebruiken als een soort pastebin-service.
ReversingLabs zei dat het verschillende PyPI-pakketten identificeerde – namelijk httprequesthub, pyhttpproxifier, libsock, libproxy en libsocks5 – die zich voordeden als bibliotheken voor het afhandelen van netwerkproxying, maar een Base64-gecodeerde URL bevatten die verwijst naar een geheime kern die wordt gehost in een wegwerp GitHub-account zonder enige publiekgerichte projecten.
De kern bestaat uit Base64-gecodeerde opdrachten die in een nieuw proces worden geparseerd en uitgevoerd via kwaadaardige code die aanwezig is in het setup.py-bestand van de nagemaakte pakketten.
Het gebruik van geheime gisten om kwaadaardige commando’s te leveren aan gecompromitteerde hosts werd eerder benadrukt door Trend Micro in 2019 als onderdeel van een campagne die een achterdeur verspreidde genaamd SLUB (afkorting van SLack en githUB).
Een tweede techniek die door het beveiligingsbedrijf voor de softwaretoeleveringsketen is waargenomen, omvat het exploiteren van functies van het versiebeheersysteem, waarbij wordt vertrouwd op git commit-berichten om opdrachten te extraheren voor uitvoering op het systeem.
Het PyPI-pakket, genaamd easyhttprequest, bevat kwaadaardige code die “een specifieke git-repository van GitHub kloont en controleert of de ‘head’-commit van deze repository een commit-bericht bevat dat begint met een specifieke string”, zei Zanki.
“Als dat zo is, verwijdert het die magische string en decodeert het de rest van het met Base64 gecodeerde commit-bericht, en voert het uit als een Python-commando in een nieuw proces.” De GitHub-repository die wordt gekloond, is een afsplitsing van een ogenschijnlijk legitiem PySocks-project en bevat geen kwaadaardige git commit-berichten.
Alle frauduleuze pakketten zijn nu verwijderd uit de Python Package Index (PyPI) repository.
“Het gebruik van GitHub als C2-infrastructuur is op zichzelf niet nieuw, maar misbruik van functies zoals Git Gists en commit-berichten voor het leveren van opdrachten zijn nieuwe benaderingen die door kwaadwillende actoren worden gebruikt”, aldus Zanki.
