Хакери използват GitHub за масово разпространение на зловреден софтуер като услуга
Експертите по сигурността на Cisco Talos са разкрили оператор на услугата злотворен програмен продукт като услуга (Malware-as-a-Service – MaaS), който е употребявал обществени сметки в GitHub за разпространяване на разнообразни зловредни стратегии.
GitHub се трансформира в елементарна и надеждна платформа за хакерската услуга, която се възприема като надеждна в доста корпоративни мрежи: самите компании я употребяват като вместилище за код при създаване на личен програмен продукт, тъй че домейнът на услугата нормално не се блокира от уеб филтри. В доста организации с отдели за развойна активност достъпът до GitHub е наложителен под една или друга форма. След като получиха уведомлението на Talos, админите на GitHub отстраниха три акаунта, в които се намираше зловредният програмен продукт.
Инцидентът е обвързван с акция, която продължава от февруари. В нея се употребява стратегия за евакуиране на злотворен програмен продукт, известна като Emmenhtal и PeakLight, която преди този момент е била популяризирана посредством имейл. Експертите на Talos откриха същия вид на Emmenhtal като част от комерсиална MaaS интервенция – единствено че в този момент източникът на разпространяване беше GitHub.
Отличителна линия на тази офанзива беше инсталирането на платформата Amadey на компютрите на жертвите. Този злотворен програмен продукт беше открит за първи път през 2018 година и в началото беше употребен за основаване на ботнети. Основната функционалност на Amadey е да събира систематична информация от инфектираните устройства и да зарежда вторични потребни товари според от систематичната настройка и задачите на съответната офанзива.
След заразяването на системата със зловредния програмен продукт Amadey операторите на акцията определяха кои потребни товари да насочат към устройството, като използваха елементарен URL адрес на GitHub. Скриптовете на Emmenhtal в този случай се характеризираха със същата четирислойна конструкция: три пласта се използваха за замаскиране, а четвъртият служеше като зареждащ модул, осъществен като скрипт на PowerShell. Зловредният програмен продукт в GitHub беше маскиран като MP4 файлове, а зареждащият модул на Python беше наименуван checkbalance.py.
