Github, una herramienta clave para cualquier desarrollador de código, está mutando de a poco a un lugar inseguro de la red. Te contamos quién lo dice y por qué, ¡a continuación!
Los ciberdelincuentes están usando GitHub para alojar y distribuir archivos maliciosos y redirigir el tráfico a estafas de phishing, según advirtió un grupo de expertos. La herramienta, un estándar de la industria para compartir código y archivos, cada vez es más utilizado por los actores de amenazas como parte clave de su infraestructura delictiva. El sitio de alojamiento de código también se está utilizando en una táctica adaptada de living-off-the-land (LotL).
Los hackers usan las capacidades de intercambio de archivos y código de los sitios para desplegar cargas útiles dentro del tráfico de red legítimo en lo que Recorded Future llama “vivir fuera de sitios de confianza” (LOTS) en un informe sobre cómo los actores de amenazas están utilizando GitHub.
La principal vía de abuso de GitHub gira en torno a la entrega de cargas útiles, aunque la resolución de caídas muertas (DDR, por sus siglas en inglés) y el comando y control (C2, por sus siglas en inglés) también se utilizan de forma generalizada en el sitio. La DDR consiste en el uso de un servicio legítimo por parte de los ciberdelincuentes para almacenar información relativa a sus propios dominios maliciosos, que infectan a los usuarios y los dirigen a otras infraestructuras utilizadas por los actores de la amenaza.
GitHub también está siendo utilizado por los actores de amenazas para ocultar o disfrazar sus redes C2, permitiendo que su tráfico se mezcle con el tráfico legítimo haciendo que sea muy difícil de rastrear u observar. Recorded Future dijo en el informe que, “El enfoque de “vivir de sitios de confianza” (LOTS) se destaca como una tendencia creciente entre las APT, y se espera que los grupos menos sofisticados sigan su ejemplo.”
El informe afirma que no existe una solución actual para resolver el abuso de GitHub por parte de los actores de amenazas, sin embargo, se espera que la responsabilidad de detectar el abuso del alojamiento de GitHub pueda pasar gradualmente a los LIS, que tienen una mayor visibilidad sobre quién está utilizando sus servicios y qué están haciendo.