Złośliwe strony na GitHubie - nowy sposób cyberprzestępców

Po złośliwych plikach ISO udostępnianych przez OneDrive, wirusach serwowanych przez udostępnianie plików na Discordzie i kampaniach auto-generujących wydarzenia w Kalendarzu Google, przyszedł czas na nowości. OneDrive zaczął skanować antywirusowo także pliki ISO, Discord włączył 24-godzinne wygasanie linków, a Google zmienił sposób, w jaki automatycznie dodawane są wydarzenia do kalendarza.

GitHub także był wykorzystywany do hostowania malware'u, ale sytuacja ta uległa poprawie mniej więcej wtedy, gdy poprawiono OneDrive'a - Microsoft zaczął po prostu intensywniej wykorzystywać swoje własne rozwiązania antywirusowe. Repozytoria GitHuba prędko przestały być lokacją masowo hostującą wirusy… ale to niejedyny sposób, na jaki można wykorzystać ten portal do cyberprzestępczości. Usługa ma bowiem bardzo wiele funkcji.

Jedną z ciekawszych funkcji GitHuba jest Pages, czyli możliwość stworzenia własnej "wiki"/FAQ dla repozytorium, a nawet kompletnej strony internetowej dla całego projektu - dzięki czemu mniejsze repozytoria, hostujące projekty o skromnym/zerowym budżecie, nie muszą się martwić o posiadanie strony domowej. Zawartość strony jest przechowywana w dedykowanym repozytorium. Ono także jest skanowane antywirusowo, więc nie nadaje się do hostowania złośliwych plików… ale może służyć za coś innego.

Dalsza część artykułu pod materiałem wideo

Przekierowania. Umieszczenie na stronie projektu linku do przekierowania umyka skanerom antywirusowym. A adres github.io uchodzi za zaufany. Umożliwiło to rozkwitnąć nowym kampaniom mailowym, które potrafią przetrzeć się przez antyspam ze względu na linkowanie wyłącznie do "bezpiecznego" portalu jakim jest GitHub. To, że sam GitHub Pages potem, od razu, przekierowuje jeszcze dalej, nie ma na tym etapie znaczenia. Przed tym może powstrzymać raczej przeglądarka - co staje się możliwe dopiero po jakimś czasie od rozpoczęcia kampanii.

Z pomocą przychodzą tu dopiero filtry przeglądarkowe, jak Windows SmartScreen oraz Google Safe Browsing. To w ich bazach zgłaszany jest konkretny URL (a nie cała domena, która dalej ma wysoką reputację). Obecnie większość z nich jest już blokowana - podczas, gdy GitHub reaguje na zgłoszenia po dwóch tygodniach. Nie ma też zgeneralizowanego podejścia do problemu, wciąż pojawiają się nowe repozytoria - są jedynie usuwane nieco szybciej. Oznacza to, że GitHub obecnie pozostaje wygodnym narzędziem dla cyberprzestępców: złośliwe linki są z niego usuwane bardzo powoli.

Jest to szczególnie interesujące w zestawieniu z tym, że właścicielem zarówno usługi GitHub, jak i filtra SmartScreen jest Microsoft. Złośliwy link jest blokowany na filtrze, ale nie u źródła. Nie zachodzi zatem współpraca między usługami. Działa to na korzyść przestępców. Podobny problem zachodzi z mikro-stronami wdrażanymi na Azure, ale masowe zakładanie złośliwych repozytoriów na GitHubie jest po prostu tańsze. Użytkownikom pozostaje zgłaszać napotkane repozytoria do GitHuba, co niestety wymaga konta. Łatwiej zgłosić oszustwo bezpośrednio w przeglądarce.