Η δημοτικότητα του GitHub και η συχνή χρήση του σε περιβάλλοντα IT το έχουν καταστήσει αγαπημένη επιλογή των κυβερνοεγκληματιών. Οι απατεώνες χρησιμοποιούν όλο και περισσότερο την πλατφόρμα για να φιλοξενούν και να παραδίδουν κακόβουλα payloads και να λειτουργούν ως dead drop resolvers, command-and-control και data exfiltration points.
Η Recorded Future αναφέρει σε μια πρόσφατη έκθεσή της ότι η χρήση του GitHub για κακόβουλη υποδομή επιτρέπει στους επιτιθέμενους να μπλέκουν το κακόβουλο με το νόμιμο traffic. Έτσι, καταφέρνουν να παρακάμπτουν τις παραδοσιακές άμυνες ασφαλείας και καθιστούν την παρακολούθηση της υποδομής πιο δύσκολη.
Η εταιρεία κυβερνοασφάλειας περιέγραψε την προσέγγιση ως “living-off-trusted-sites” (LOTS), που χρησιμοποιείται για την απόκρυψη της κακόβουλης δραστηριότητας.
Δείτε επίσης: GitHub: Ενεργοποιήστε το 2FA πριν από την προσεχή προθεσμία
Σύμφωνα με τους ερευνητές, ένας ακόμα βασικός σκοπός της κατάχρησης GitHub είναι η παράδοση κακόβουλων payloads, με ορισμένους παράγοντες να αξιοποιούν τις δυνατότητές του για command-and-control (C2) obfuscation.
Ενώ τα full-fledged C2 implementations είναι ασυνήθιστα σε σύγκριση με άλλα σχήματα υποδομής στο GitHub, η χρήση τους από τους παράγοντες απειλών ως dead drop resolver – όπου οι πληροφορίες από ένα χώρο αποθήκευσης GitHub που ελέγχεται από τους επιτιθέμενους χρησιμοποιούνται για την απόκτηση της πραγματικής διεύθυνσης URL C2 – είναι πολύ διαδεδομένη, όπως αποδεικνύεται στην περίπτωση κακόβουλου λογισμικού όπως το Drokbk και το ShellBox.
Επίσης, έχει παρατηρηθεί και η κατάχρηση του GitHub για εξαγωγή δεδομένων, αν και πιο σπάνια.
Εκτός αυτών των τεσσάρων μεθόδων κατάχρησης, οι προσφορές της πλατφόρμας χρησιμοποιούνται με διάφορους άλλους τρόπους, προκειμένου να ανταποκριθούν σε σκοπούς που σχετίζονται με την υποδομή. Για παράδειγμα, τα GitHub Pages έχουν χρησιμοποιηθεί ως phishing hosts ή traffic redirectors. Επιπλέον, σε ορισμένες καμπάνιες έχει εντοπιστεί χρήση GitHub repositories ως backup C2 channel.
Δείτε επίσης: Google: Τα passkeys γίνονται η default επιλογή σύνδεσης σε προσωπικά accounts
Η ολοένα και πιο συχνή εκμετάλλευση του GitHub από κυβερνοεγκληματίες δεν μας κάνει και τόση εντύπωση, αν λάβουμε υπόψη ότι στο παρελθόν έχουν χρησιμοποιηθεί και πολλές άλλες διαδικτυακές υπηρεσίες για κακόβουλους σκοπούς (π.χ. Google Drive, Microsoft OneDrive, Dropbox, Discord κ.ά.). Αυτό επεκτείνεται επίσης και σε άλλες πλατφόρμες source code and version control όπως το GitLab, το BitBucket και το Codeberg.
“Δεν υπάρχει καθολική λύση για τον εντοπισμό κατάχρησης του GitHub“, είπε η εταιρεία.
Πώς μπορεί να αντιμετωπιστεί η κακόβουλη χρήση του GitHub;
Ένας από τους πιο αποτελεσματικούς τρόπους για την αντιμετώπιση της κακόβουλης χρήσης του GitHub είναι η ενίσχυση των πρωτοκόλλων ασφαλείας. Αυτό μπορεί να περιλαμβάνει την εφαρμογή πολυπαραγοντικής επαλήθευσης, την ενημέρωση των κωδικών πρόσβασης και τη χρήση εργαλείων ανίχνευσης εισβολών.
Επιπλέον, η εκπαίδευση των χρηστών για τις πρακτικές ασφαλείας μπορεί να αποτρέψει την κακόβουλη χρήση. Οι χρήστες πρέπει να είναι ενήμεροι για τους κινδύνους που συνδέονται με την αποκάλυψη προσωπικών πληροφοριών ή την κοινοποίηση ευαίσθητου κώδικα.
Τέλος, η χρήση εργαλείων ανάλυσης κώδικα και η διαδικασία αναθεώρησης κώδικα μπορούν να βοηθήσουν στην ανακάλυψη και την αποτροπή κακόβουλων δραστηριοτήτων. Αυτά τα εργαλεία μπορούν να εντοπίσουν αλλαγές στον κώδικα ή να αναγνωρίσουν πρότυπα που είναι χαρακτηριστικά των κακόβουλων επιθέσεων.
Δείτε επίσης: Φυλακίζεται μέλος των ShinyHunters hackers
Επιπρόσθετα, η διαχείριση των δικαιωμάτων πρόσβασης είναι ένας ακόμη τρόπος για την προστασία του GitHub από κακόβουλες επιθέσεις. Η περιορισμένη πρόσβαση σε ευαίσθητα αρχεία μπορεί να αποτρέψει την παραβίαση των δεδομένων.
Τέλος, η συνεργασία με τις αρχές ασφαλείας και την κοινότητα του GitHub μπορεί να βοηθήσει στην ανακάλυψη και την αντιμετώπιση των κακόβουλων δραστηριοτήτων. Η ανταλλαγή πληροφοριών και η αμοιβαία υποστήριξη μπορούν να ενισχύσουν την ασφάλεια της πλατφόρμας.
Πηγή: thehackernews.com
