ReversingLabs 的网络安全专家 Carlo Zanchi 发现了许多黑客最近利用的一个新趋势。该趋势的本质是恶意利用 GitHub 平台传播恶意软件。

Zanchi 在报告中指出，此前，恶意软件作者经常在 Dropbox、Google Drive、OneDrive 和 Discord 等平台上托管其恶意软件副本。但最近，越来越多地使用 GitHub 作为恶意软件的直接宿主。

黑客始终首选公共服务来托管和操作恶意软件。它们的使用使得恶意基础设施难以禁用，因为没有人会仅仅为了阻止某些危险僵尸网络的工作而完全阻止 Google Drive。

公共服务还允许黑客将恶意网络流量与受感染网络上的合法通信混合在一起，从而使及时检测和响应威胁变得更加困难。

因此，GitHub 上 Gist 代码片段存储服务的滥用表明了这一趋势的演变。对于黑客来说，还有什么比将其恶意代码存储在这样的小型存储库中并根据需要将其安全地传送到受感染的主机更方便的了。

ReversingLabs 已识别出 PyPI 平台上的多个软件包 – “httprequesthub”、“pyhttpproxifier”、“libsock”、“libproxy”和“libsocks5” – 这些软件包伪装成用于处理代理网络的库，但包含一个 Base64 编码的 URL ，导致一个秘密 Gist 托管在一次性 GitHub 帐户中，没有公共项目。

研究人员还发现了黑客积极使用的另一种利用 GitHub 的方法。这里已经涉及到版本控制系统的功能了。其中，黑客在单击“Git commit”按钮时依赖具有更改历史记录的消息，通过恶意软件从中提取命令，然后在受感染的系统上执行它们。

关键点是，恶意软件放置在已经受感染的计算机上，扫描特定存储库的提交历史记录以查找特定消息。这些提交消息包含隐藏命令，然后由软件提取并在受害者的计算机上执行。

Zanchi 强调，使用 GitHub 作为 C2 基础设施本身并不新鲜，但滥用 Gists 和 Git commit 等功能是黑客近年来越来越多使用的创新方法。

使用 GitHub 等流行且值得信赖的平台作为网络犯罪的基础设施是一个非常令人震惊的趋势，这表明了黑客的聪明才智。

尽管服务本身安全可靠，但黑客不断寻找各种漏洞引入恶意代码和 C2 命令。这对公司和用户来说都是一个行动信号——他们需要提高警惕并使用现代手段来防御威胁。

---

转自安全客，原文链接：https://www.anquanke.com/post/id/292062

封面来源于网络，如有侵权请联系删除