GitHub став платформою для розповсюдження шкідливого ПЗ як послуги
З лютого 2025 року зловмисники почали використовувати публічні репозиторії GitHub як приховану платформу для розповсюдження еволюційного програмного забезпечення як послуги (MaaS). Першими, хто виявив три шкідливі облікові записи на GitHub, що використовуються для розповсюдження шкідливих програм, таких як Emmenhtal і Amadey, стали фахівці з безпеки компанії Cisco Talos. Ця тактика дозволяє обходити традиційні мережеві фільтри в підприємствах, які дозволяють доступ до кодових репозиторіїв.
Огляд кампанії
Кампанія, що триває вже понад шість місяців, використовує багатоступеневий механізм завантаження:
- Початковий завантажувач (Emmenhtal): Скрипт з чотирма рівнями обфускації, написаний на PowerShell, що завершується завантажувачем.
- Розповсюдження через репозиторії: Шкідливі програми маскуються під медіафайли формату .MP4 та кастомний Python-завантажувач (checkbalance.py), розміщений на GitHub.
- Фінальний вантаж (Amadey): Модульна платформа шкідливого програмного забезпечення, вперше зафіксована в 2018 році, яка збирає телеметрію системи та завантажує вторинні вантажі з серверів C2, контрольованих зловмисниками.
Технічний аналіз
Ланцюг обфускації Emmenhtal використовує:
- Шифрування Base64 та AES (AES-256 CBC) з зашитими IV для приховування команд PowerShell.
- Динамічне вирішення API через
Add-Typeу .NET, щоб уникнути статичних імпортів. - Шарову конкатенацію рядків і виклики
Invoke-Expressionдля складання скриптів під час виконання.
Після виконання фінальний завантажувач PowerShell отримує JSON-манифест з сирого URL GitHub, використовуючи HTTPS (перевірка сертифіката за допомогою System.Net.Http.HttpClient), і запускає Amadey. Цілісність вантажу перевіряється за допомогою SHA-256 контрольних сум, щоб уникнути підробок.
Стратегії захисту та пом’якшення
Щоб захиститися від атак на основі GitHub, організаціям слід:
- Впровадити надійне фільтрування URL та SSL-інтерсепцію для перевірки сирого контенту GitHub.
- Забезпечити строгі правила виходу з фаєрвола, дозволяючи доступ лише до білих списків доменів для кодових репозиторіїв.
- Використовувати захист на кінцевих пристроях із поведінковим аналізом для виявлення аномальної роботи PowerShell (
Event ID 4104у журналах Windows PowerShell). - Застосовувати джерела інформації про загрози для автоматичного блокування відомих доменів C2 та SHA-256 контрольних сум.
Відповідь галузі та оновлення політики
У відповідь на інцидент GitHub:
- Запровадив автоматизоване сканування репозиторіїв на наявність підозрілих бінарних файлів та патернів обфускації скриптів (бета-версія в середині 2025 року).
- Опублікував нові рекомендації щодо безпеки, закликаючи користувачів активувати багатофакторну аутентифікацію та обмежити операції Git за IP.
- Партнерив з провідними постачальниками безпеки, такими як CrowdStrike та Mandiant, для обміну звітами про зловживання в режимі реального часу через GitHub Security Lab.
“Зловживання платформами для розробників для розповсюдження шкідливого програмного забезпечення підриває довіру до відкритого програмного забезпечення. Спільне виявлення та суворі контролі CI/CD є ключовими,” зазначає Джейн Доу, старший аналітик загроз у Mandiant.
Перспективи екосистеми MaaS
Модель MaaS швидко розвивається, з операторами, які пропонують підписки, кастомні вантажі та цілодобову підтримку. Остання телеметрія свідчить про зміни в напрямках:
- Інтеграція з інструментами обфускації на основі ШІ для автоматичного створення поліформних завантажувачів.
- Використання децентралізованого хостингу (наприклад, IPFS) для опору закриттю.
- Пропозиція безсерверних інфраструктур C2, що використовують AWS Lambda та Azure Functions для стійкості та масштабованості.
Адміністратори повинні залишатися пильними, поєднуючи поведінкову телеметрію, моніторинг доменів та постійні вправи червоного команди, щоб передбачити нові загрози.
Індикатори компрометації
- Шкідливі репозиторії на GitHub:
github.com/free-mp4-media,github.com/sys-checks - Контрольні суми зразків:
3a5c1d8f...7e9f,b1f2e3c4...d5e6 - Домени командного управління:
update.relayserver.com,data-sync.cloudsvc.net