Исследователи Recorded Future: GitHub набирает популярность среди хакерских инструментов

Компания Recorded Future опубликовала исследование безопасности инфраструктуры платформы GitHub. Эксперты отмечают, что сервис позволяет хакерам маскировать свои действия под обычный сетевой трафик и не вызывать подозрения у контролирующих органов.

Опасные репозитории

Чаще всего злоумышленники используют GitHub, чтобы публиковать вредоносные пакеты для популярных языков программирования. Названия таких пакетов похожи на официальные библиотеки, но отличаются на несколько символов. Этот подход рассчитан на то, что разработчик сделает опечатку и будет использовать в проекте заражённый код.

Исследователи Recorded Future обнаружили, что в некоторых пакетах в хранилище PyPI содержатся зашифрованные ссылки на сниппеты кода в GitHub Gist. Именно в сниппетах находится основная программа вируса, которая перехватывает трафик или крадёт учётные данные пользователей. То есть злоумышленники публикуют безопасный код в менеджере пакетов, но в нём вызывают хранящийся в GitHub Gist вредоносный фрагмент.

Код хранится на разных сервисах и не связан напрямую. Поэтому такой подход позволяет хакерам отвести от себя подозрения администраторов GitHub и пакетных менеджеров.

Вместе с этим злоумышленники используют GitHub Pages — бесплатный сервис для хостинга веб-сайтов. На нём хакеры публикуют фишинговые страницы, с которых перенаправляют пользователей на поддельные формы оплаты или регистрации. Для создания сайта на GitHub Pages не требуется подтверждать личность, а название популярного сервиса в домене вызывает доверие пользователей. Именно по этим причинам платформа стала популярной среди злоумышленников.