.
A popularidade do Github tornou-o grande demais para ser bloqueado, o que é uma vantagem para os dissidentes que evitam os censores do governo, mas um problema para a segurança da Internet.
O GitHub afirma que é usado por mais de 100 milhões de desenvolvedores em todo o mundo. Sua popularidade e utilidade garantem que o site seja “relativamente imune aos esforços de censura chineses”, segundo a Electronic Frontier Foundation. O alcance do GitHub, no entanto, também torna seus diversos serviços atraentes para aqueles que procuram distribuir malware para o maior público possível.
Em um relatório publicado na quinta-feira, a loja de segurança Recorded Future alerta que a infraestrutura do GitHub é frequentemente abusada por criminosos para suportar e distribuir malware. E espera-se que o abuso cresça devido às vantagens de uma estratégia de “viver fora de sites confiáveis” para aqueles envolvidos em malware.
O GitHub, diz o relatório, apresenta várias vantagens para os autores de malware. Por exemplo, os domínios do GitHub raramente são bloqueados por redes corporativas, o que o torna um site de hospedagem confiável para malware.
O host do código em nuvem provavelmente também será familiar para aqueles que criam software prejudicial, com base no uso legítimo anterior. Além do mais, o GitHub pode ser usado sem taxas típicas de hospedagem na web ou custos de registro de domínio, é confiável e não há muita verificação quando novas contas são criadas.
Existem desvantagens, no entanto. A falta de serviços de back-end PHP limita os kits de phishing baseados em PHP. O GitHub também é altamente visível e possui uma equipe de segurança considerada bastante competente. E o site impõe limites de tamanho de arquivo e largura de banda que podem restringir os recursos de ataque.
Os criminosos, de acordo com o Grupo Insikt do Recorded Future, muitas vezes dependem do GitHub para entrega de carga útil, resolução de código morto, exfiltração de dados e operações de comando e controle.
“O uso de serviços GitHub para infraestrutura maliciosa permite que adversários se misturem ao tráfego de rede legítimo, muitas vezes contornando as defesas de segurança tradicionais e dificultando o rastreamento da infraestrutura upstream e a atribuição de atores”, diz o relatório.
A equipe de segurança cita vários exemplos em que o GitHub foi usado para preparar ou distribuir arquivos maliciosos, como o relatório da Qualys de janeiro de 2023 sobre planilhas do Excel usadas como isca para espalhar o BitRAT, o relato do Morphisec Labs de junho de 2023 de uma campanha de phishing que dependia de um Script do PowerShell para buscar o shellcode do GuLoader de um site do GitHub Pages e um Caso de agosto de 2023 encontrado pelo pesquisador de segurança 0xToxin que utilizou um script PowerShell encontrado em raw[.]githubusercontent[.]com.
O relatório Recorded Future descreve ainda o utilitário do site de hospedagem de código para resolução de dead drop (hospedagem de informações relacionadas à infraestrutura de comando e controle) e para execução de servidores de comando e controle.
A confiança nesta estratégia de “viver fora de sites confiáveis” provavelmente aumentará e, portanto, as organizações são aconselhadas a sinalizar ou bloquear serviços GitHub que normalmente não são usados e podem ser abusados. Sugere-se que as empresas também devem analisar detalhadamente o uso dos serviços GitHub para formular estratégias defensivas específicas.
“Este desafio afeta serviços em toda a indústria”, disse um porta-voz do GitHub ao Strong The One.
“Com mais de 100 milhões de desenvolvedores na plataforma construindo mais de 420 milhões de repositórios, temos equipes dedicadas a detectar, analisar e remover conteúdo que viola nossas Políticas de Uso Aceitável. Empregamos revisões manuais e detecções em escala que usam aprendizado de máquina e continuamos a evoluir e se adaptar contra táticas adversárias. Também encorajamos todos a denunciar abusos e spam.” ®
.
