GitHub 已成为恶意软件传播的严重污染源

根据Recorded Future最近的一份报告，开发者平台GitHub最近已成为黑客用来托管和传播恶意软件的流行工具。该平台为攻击者提供了将其行为伪装成合法网络流量的能力，这使得跟踪和确定攻击者的身份变得困难。

专家将这一策略称为“Living Off Trusted Sites”（LOTS），它是“Living off the Land”（LotL）技术的一种修改版本，攻击者经常使用这种技术来隐藏恶意活动。

滥用GitHub的最常见方式之一是传播恶意软件。例如，ReversingLabs在上个月发布的报告中提到了一些伪造的Python包，这些包通过秘密的GitHub存储库接收恶意命令。

尽管GitHub上的治理系统的完整实施相对较少见，但将该平台用作“死箱”以获取治理服务器的URL则更为普遍。虽然使用GitHub上传数据的情况相对罕见，但仍有记录表明这是由于文件大小限制和对被发现的担忧。根据Recorded Future的说法，这一现象依然存在。

除了上述方案外，攻击者还经常通过多种方式利用GitHub。这包括将GitHub Pages用作网络钓鱼或流量重定向主机，以及作为备份控制通道。

Recorded Future的报告强调了攻击者借助合法互联网服务的整体趋势，其中包括Google Drive、Microsoft OneDrive、Dropbox、Notion、Firebase、Trello、Discord以及各种源代码管理平台（如GitLab、BitBucket、Codeberg）。

Recorded Future指出，对流行服务的滥用检测目前还没有通用解决方案。在这方面，需要结合不同的检测策略，具体取决于环境特征、日志可用性、组织结构、服务使用模式和风险级别。

转自安全客，原文链接：https://www.anquanke.com/post/id/292638