将 GitHub 用于恶意目的行为越来越多，目前无直观方法避免

GitHub 在信息技术 （IT） 环境中无处不在，这使得它成为威胁参与者托管和交付恶意有效负载并充当死滴解析器、命令和控制以及数据泄露点的有利可图的选择。

“将GitHub服务用于恶意基础设施允许对手与合法的网络流量混合，通常绕过传统的安全防御，并使上游基础设施跟踪和行为者归因更加困难，”Recorded Future在与The Hacker News分享的一份报告中说。

这家网络安全公司将这种方法描述为“生活在受信任的站点之外”（LOTS），这是对威胁行为者经常采用的离地生活（LotL）技术的一种旋转，以隐藏流氓活动并在雷达下飞行。

在GitHub被滥用的方法中，最突出的是有效载荷交付，一些参与者利用其功能进行命令和控制（C2）混淆。上个月，ReversingLabs 详细介绍了许多流氓 Python 包，这些包依赖于 GitHub 上托管的秘密 gist 来接收受感染主机上的恶意命令。

虽然与其他基础设施方案相比，GitHub 中成熟的 C2 实现并不常见，但威胁参与者将其用作死滴解析器（其中来自参与者控制的 GitHub 存储库的信息用于获取实际的 C2 URL）更为普遍，正如 Drokbk 和 ShellBox 等恶意软件所证明的那样。

同样很少观察到的是滥用 GitHub 进行数据泄露，根据 Recorded Future，这可能是由于文件大小和存储限制以及对可发现性的担忧。

除了这四个主要方案之外，该平台的产品还以各种其他方式使用，以满足与基础设施相关的目的。例如，GitHub Pages 已被用作网络钓鱼主机或流量重定向器，一些活动使用 GitHub 存储库作为备份 C2 通道。

这一发展说明了合法互联网服务（如Google Drive，Microsoft OneDrive，Dropbox，Notion，Firebase，Trello和Discord）被威胁行为者利用的更广泛趋势。这也扩展到其他源代码和版本控制平台，如 GitLab、BitBucket 和 Codeberg。

“GitHub滥用检测没有通用的解决方案，”该公司表示。“需要混合检测策略，受特定环境和因素的影响，例如日志的可用性、组织结构、服务使用模式和风险承受能力等。”