La popularidad de Github lo ha hecho demasiado grande para bloquearlo, lo que es una bendición para los disidentes que eluden a los censores gubernamentales, pero un problema para la seguridad de Internet. GitHub dice que lo utilizan más de 100 millones de desarrolladores en todo el mundo. Su popularidad y utilidad garantizan que el sitio sea «relativamente inmune a los esfuerzos de censura chinos», según la Electronic Frontier Foundation. Sin embargo, el alcance de GitHub también hace que sus diversos servicios sean atractivos para quienes buscan distribuir malware a la mayor audiencia posible. En un informe publicado el jueves, el taller de seguridad Recorded Future advierte que los delincuentes abusan con frecuencia de la infraestructura de GitHub para soportar y distribuir malware. Y se espera que el abuso crezca debido a las ventajas de una estrategia de «vivir en sitios confiables» para quienes están involucrados en malware. GitHub, según el informe, presenta varias ventajas para los autores de malware. Por ejemplo, los dominios de GitHub rara vez son bloqueados por redes corporativas, lo que los convierte en un sitio de alojamiento confiable para malware. También es probable que el host del código de la nube resulte familiar para quienes crean software dañino, basándose en un uso legítimo previo. Es más, GitHub se puede utilizar sin las típicas tarifas de alojamiento web ni costos de registro de dominio, es confiable y no hay mucha investigación cuando se crean nuevas cuentas. Sin embargo, existen desventajas. La falta de servicios backend de PHP limita los kits de phishing basados ​​en PHP. Además, GitHub es muy visible y tiene un equipo de seguridad que se considera bastante experto. Y el sitio impone límites de tamaño de archivo y ancho de banda que pueden limitar los recursos de ataque. Los delincuentes, según Insikt Group de Recorded Future, a menudo confían en GitHub para la entrega de carga útil, la resolución de código, la filtración de datos y las operaciones de comando y control. «El uso de servicios de GitHub para infraestructura maliciosa permite a los adversarios mezclarse con el tráfico legítimo de la red, a menudo eludiendo las defensas de seguridad tradicionales y dificultando el seguimiento de la infraestructura ascendente y la atribución de actores», dice el informe. El equipo de seguridad cita numerosos ejemplos en los que GitHub se ha utilizado para organizar o distribuir archivos maliciosos, como el informe de Qualys de enero de 2023 sobre hojas de cálculo de Excel utilizadas como cebo para difundir BitRAT, el relato de Morphisec Labs de junio de 2023 sobre una campaña de phishing que se basó en un Secuencia de comandos de PowerShell para recuperar el código shell de GuLoader de un sitio de páginas de GitHub y un caso de agosto de 2023 encontrado por el investigador de seguridad 0xToxin que utilizó una secuencia de comandos de PowerShell encontrada en formato raw.[.]contenidodeusuariogithub[.]com. El informe Recorded Future describe con más detalle la utilidad del sitio de alojamiento de código para la resolución de puntos muertos (alojamiento de información relacionada con la infraestructura de comando y control) y para ejecutar servidores de comando y control. Es probable que aumente la dependencia de esta estrategia de «vivir en sitios confiables», por lo que se recomienda a las organizaciones que marquen o bloqueen los servicios de GitHub que normalmente no se utilizan y de los que se podría abusar. Se sugiere que las empresas también deberían analizar en detalle su uso de los servicios de GitHub para formular estrategias defensivas específicas. «Este desafío afecta a los servicios de toda la industria», dijo un portavoz de GitHub a The Register. «Con más de 100 millones de desarrolladores en la plataforma construida en más de 420 millones de repositorios, contamos con equipos dedicados a detectar, analizar y eliminar contenido que viola nuestras Políticas de uso aceptable. Empleamos revisiones manuales y detecciones a escala que utilizan el aprendizaje automático y continuamos evolucionando y adaptándonos «contra tácticas adversas. También animamos a todos a denunciar abusos y spam». ®

Source link