威胁行为者正寻找新的方法滥用GitHub

写在前面的话

ReversingLabs的研究人员表示，威胁行为者正在积极探索滥用GitHub的新方法，并尝试诱骗开发人员将恶意代码放入其软件中并发送给下游用户。

GitHub和Python Package Index（PyPI）等代码存储库早已成为了威胁行为者的热门目标，因为威胁行为者希望利用软件供应链来更轻松更便捷地低成本传播恶意软件，同时还能逃避检测。

在本周发布的一份安全报告中，ReversingLabs的逆向工程师Karlo Zanki提到，威胁行为者在近些年的各类恶意软件活动中，已经非常擅长使用公共服务作为其命令控制C2基础设施了。

Karlo Zanki表示：“恶意软件开发者偶尔会将他们的样本上传至Dropbox、Google Drive、OneDrive和Discord等服务中，以托管第二阶段恶意软件和检测规避工具。而现在，越来越多的威胁行为者开始使用GitHub开源开发平台来托管恶意软件了。”

近期，研究人员发现了两种威胁行为者滥用GitHub所使用的新方法，而这两种新方法的幕后操作者很可能是同一个威胁行为体。

威胁行为者正在滥用Gist

对于开发人员来说，Gist非常简单，它可以允许开发人员彼此共享代码片段，并提供了很多其他极具吸引力的强大功能。Gist可以是公开可访问的，也可以是私有的。如果是私有Gist，则不会显示在GitHub的发现页中，除了开发人员之外，任何人都无法搜索到它们，并且只有开发人员登录之后他自己才能搜索得到。

但实际上，私有Gist并不是真正意义上的私有，因为如果开发人员通过URL地址的形式将私有Gist发送给其他人，那么其他人也是能够看到它们的。

研究人员表示，私有Gist的另一个好处就是它们始终不会在开发人员GitHub个人资料页面中可见，从威胁行为者的角度来看，如果将它用作一种Pastebin服务的话，隐蔽性就会非常高。

通过分析和调查，ReveringLabs的研究人员发现了几个PyPI包，即httprequesthub、pyhttpproxifier、libsock、libproxy和libsocks5，这些包似乎是用于处理网络代理的库，其中包含了可能与遥测数据有关的Base64编码字符串。然而，它们都包含了一个指向私有Gist的URL地址。

研究人员认为，威胁行为者使用Base64编码来混淆该字符串的真正目的就是增加安全工具的检测难度。Base64编码通常用于在通过网络传输之前，对一些二进制数据进行编码，而研究人员对其进行加密后，发现该字符串的前几个字符为http，这几乎就能够断定这个字符串是一个URL地址了，这对于威胁分析人员来说也是一个危险的信号。

相关的恶意代码隐藏在代码包的setup.py文件中，并对其中的URL进行了编码处理。通过该URL还可以获取Base64编码的Python命令，不过这些命令是使用新的进程来执行的。

研究人员表示，虽然早在2019年就已经追踪到了有威胁行为者使用Gist向目标设备发送恶意命令，但到目前来说这都不是一种常见的技术。

使用Git Commit实现C2

研究人员所观察到的另一款恶意软件使用了Git Commit功能来获取远程控制命令。这种恶意软件位于easyhttprequest PyPI包中，与第一个分析样本一样，相关的恶意代码同样隐藏在setup.py文件中，并滥用了GitHub版本控制系统的功能。

值得一提的是，这个恶意软件样本使用了一种非常独特的策略来传递控制命令。一旦在目标设备中成功安装，该包中的恶意代码就会从GitHub克隆特定的Git库，并检查该库的Commit中是否包含以特定字符串开头的Commit。如果有的话，它会提取这个字符串并对其余的部分进行Base64解码，然后在新的进程中将其作为Python命令来执行。也就是说，这个恶意软件样本中的代码已经能够在目标设备上执行任意操作了。

考虑到这两个恶意软件样本所使用的GitHub滥用技术和威胁策略，研究人员认为这两个恶意活动背后的始作俑者是同一个威胁行为体。

目前，相关的恶意PyPI包已经被删除了，但将来肯定还会出现更多相关的恶意包，以及新型的GitHub滥用技术。

软件供应链一直都是威胁行为者眼中的“香饽饽”

这些针对GitHub的新型恶意软件以及滥用手法，也在不断提醒我们，开发人员必须意识到开源软件开发中存在的风险，特别是在威胁行为者越来越多地针对软件供应链的情况下。

软件供应链已成为网络犯罪分子的软目标。如今正在开发的软件都引入了大量现成的开源组件，而组织现在也正在使用软件物料清单（SBOM）等工具来作为解决方案。

即便如此，威胁依然会存在。Sonatype 在10月份发布的年度软件供应链状况报告中发现，2023年软件供应链攻击数量是2019年至2022年总和的两倍，总共发现了245,032个恶意软件包，并且有八分之一的开源下载造成了安全风险。

随着威胁行为者部署恶意软件的技术越来越熟练且先进，开发人员和应用程序安全团队必须能够区分这些平台上的恶意软件包和合法软件包。

原文来自: freebuf.com