网络安全专家 Carlo Zanchi,来自 ReversingLabs 公司,近期发现了一种新的黑客趋势,其中黑客们越来越频繁地利用 GitHub 平台传播恶意软件。他指出,以前,恶意软件作者通常会将其恶意软件的副本托管在 Dropbox、Google Drive、OneDrive 和 Discord 等平台上,但现在越来越多的恶意软件直接托管在 GitHub 上。

黑客一直偏好使用公共服务来托管和运行恶意软件。这种做法使得恶意基础设施难以停用,因为没有人愿意为了阻止某些危险的僵尸网络而彻底关闭像Google Drive这样的服务。公共服务还允许黑客将恶意网络流量与受感染网络上的合法通信混在一起,这使得及时检测和应对威胁变得更加困难。因此,黑客滥用GitHub上的Gist代码片段存储服务展示了这一趋势的发展。对于黑客而言,将恶意代码存储在这种小型存储库中,并根据需要安全地传输到受感染的主机,几乎没有比这更方便的了。

ReversingLabs 已经发现了 PyPI 平台上的多个软件包,这些软件包包括:

“httprequesthub”、“pyhttpproxifier”、“libsock”、“libproxy”和“libsocks5”。这些软件包伪装成用于处理代理网络的库,但实际上包含了一个 Base64 编码的 URL。这些 URL 导致一个秘密的 Gist 存储在一个一次性 GitHub 帐户中,而没有任何公共项目。

研究人员还发现了黑客积极使用的另一种利用 GitHub 的方法。这里已经涉及到版本控制系统的功能了。其中,黑客在单击“Git commit”按钮时依赖具有更改历史记录的消息,通过恶意软件从中提取命令,然后在受感染的系统上执行它们。

关键点是,恶意软件放置在已经受感染的计算机上,扫描特定存储库的提交历史记录以查找特定消息。这些提交消息包含隐藏命令,然后由软件提取并在受害者的计算机上执行。

Zanchi 强调,使用 GitHub 作为 C2 基础设施本身并不新鲜,但滥用 Gists 和 Git commit 等功能是黑客近年来越来越多使用的创新方法。

使用 GitHub 等流行且值得信赖的平台作为网络犯罪的基础设施是一个非常令人震惊的趋势,这表明了黑客的聪明才智。

尽管服务本身安全可靠,但黑客不断寻找各种漏洞引入恶意代码和 C2 命令。这对公司和用户来说都是一个行动信号——他们需要提高警惕并使用现代手段来防御威胁。