اكتشف الباحثون من فريق أمن تالوس التابع لشركة Cisco مشغلًا خبيثًا كخدمة يستخدم حسابات GitHub العامة كقناة لتوزيع مجموعة متنوعة من البرامج الضارة على الأهداف.
أعطى استخدام Github منصة خبيثة كخدمة (MAAS) منصة موثوقة وسهلة الاستخدام غارقة في العديد من شبكات المؤسسات التي تعتمد على مستودع التعليمات البرمجية للبرنامج الذي يطورونه. قام Github بإزالة الحسابات الثلاثة التي استضافت الحمولات الضارة بعد فترة وجيزة من إخطار Talos.
“بالإضافة إلى كونه وسيلة سهلة لاستضافة الملفات ، يجوز لتنزيل الملفات من مستودع github قد تجاوز تصفية الويب التي لم يتم تكوينها لمنع مجال GitHub”. “على الرغم من أن بعض المؤسسات يمكن أن تمنع GitHub في بيئتها للحد من استخدام الأدوات الهجومية المفتوحة والمصدر والبرامج الضارة الأخرى ، إلا أن العديد من المؤسسات التي لديها فرق تطوير البرمجيات تتطلب الوصول إلى الجيثر في بعض القدرات. في هذه البيئات ، قد يكون من الصعب التمييز بين تنزيل GITHUB الخبيث عن حركة مرور الويب العادية.”
Emmenhtal ، قابل أمادي
استخدمت الحملة ، التي قال تالوس مستمرة منذ فبراير ، محمل البرامج الضارة المعروفة مسبقًا تم تتبعها تحت أسماء بما في ذلك Emmenhtal و Peaklight. قام الباحثون من شركة Palo Alto Networks والوكالة الإلكترونية الرئيسية في أوكرانيا SSSCIP بالفعل بتوثيق استخدام Emmenhtal في حملة منفصلة تضمنت المحمل في رسائل بريد إلكتروني ضارة لتوزيع البرامج الضارة على الكيانات الأوكرانية. وجد Talos نفس البديل Emmenhtal في عملية MAAS ، فقط هذه المرة تم توزيع المحمل من خلال GitHub.
كانت الحملة التي تستخدم Github مختلفة عن واحدة تستهدف الكيانات الأوكرانية بطريقة رئيسية أخرى. في حين أن الحمولة النهائية في الحمولة التي تستهدف الكيانات الأوكرانية كانت عبارة عن باب خلبي معروف باسم Smokeloader ، Github One Amadey ، منصة برامج ضارة منفصلة معروفة. شوهد Amadey لأول مرة في عام 2018 وكان يستخدم في البداية لتجميع الروبوتات. وقال تالوس إن الوظيفة الأساسية لـ Amadey هي جمع معلومات النظام من الأجهزة المصابة وتنزيل مجموعة من الأحمال الثانوية المخصصة لخصائصها الفردية ، بناءً على الغرض المحدد في الحملات المختلفة.
