Araştırmacılar GitHub’da iki yeni teknik keşfettiler: Biri GitHub Gists’ten yararlanıyor, diğeri ise Git taahhüt mesajları aracılığıyla komut göndermeyi içeriyor.
Kötü amaçlı yazılım yazarları, ikinci aşama kötü amaçlı yazılımları barındırmak ve tespit tekniklerinden kaçınmak için zaman zaman Dropbox, Google Drive, OneDrive ve Discord gibi hizmetlere örnekler yükleyecektir.
Bununla birlikte, ReversingLabs’taki tehdit araştırma ekibi yakın zamanda açık kaynak geliştirme GitHub platformunda kötü amaçlı yazılım barındırmada bir artış fark etti.
GitHub Gist’lerini Kötüye Kullanma
Gists, geliştiricilerin kod parçacıklarını kolayca paylaşmalarına olanak tanıyan bir GitHub özelliğidir. Herkese açık veya özel olarak paylaşılabilirler.
“Gizli özler, oturum açmadığınız ve gizli özün yazarı olmadığınız sürece Keşfet’te görünmez ve aranamaz. Gizli özler özel değildir. Eğer gizli bir Gist’in URL’sini bir arkadaşınıza gönderirseniz, onu görebilecekler”, diyor Gists belgelerinde.
Yazarın GitHub profil sayfasında asla görünmezler. Bu, bunların bir saldırgan için uyarı işaretlerini tetiklemeyen bir tür anonim Pastebin hizmeti olarak kullanılmasına olanak tanır.
ReversingLabs, Cyber Security ile hazırladığı bir raporda şunları paylaştı: “Bu olayda, birkaç PyPI paketi kendilerini ağ proxy’sini yönetmeye yönelik kütüphaneler olarak sundu ve telemetri verileriyle ilgili olduğu iddia edilen ancak gizli bir Gist’e işaret eden bir URL içeren Base64 kodlu bir dize içeriyordu.” Haberler.
Kötü amaçlı yazılım geliştiricileri, bu dizenin gerçek amacını gizlemek ve güvenlik teknolojilerinin onu şüpheli olarak işaretlemesini zorlaştırmak için Base64 kodlamasını kullandı. Bir ağ üzerinden gönderilmeden önce ikili veriler sıklıkla Base64 kodlaması kullanılarak kodlanır.
setup.py dosyası gizli kötü amaçlı kod içeriyordu. Kurulum araçları komutları bunu uygulamak için genişletildi.
git Commit Mesajları Aracılığıyla Komut Gönderme
Araştırmacılar easyhttprequest PyPI paketinde sürüm kontrol sistemlerinin özelliklerinden yararlanan bir örnek keşfettiler. Bir kez daha kötü amaçlı kod, Egg_info setuptools komutunun genişletilmesiyle oluşturuldu ve onu setup.py dosyasına gizledi.
Araştırmacılar, “Kurbanın makinesine kurulumdan sonra, bu paketteki kötü amaçlı kod GitHub’dan belirli bir git deposunu klonlar ve bu deponun “baş” taahhüdünün belirli bir dizeyle başlayan bir taahhüt mesajı içerip içermediğini kontrol eder” dedi.
Öneri
Saldırganlar kötü amaçlı yazılım dağıtımında daha uzman hale geldikçe, geliştiricilerin ve uygulama güvenliği ekiplerinin bu platformlardaki zararlı ve meşru paketler arasında ayrım yapabilmesi gerekiyor.
Bu nedenle yazılım geliştiricileri, eksiksiz yazılım tedarik zinciri güvenliği sunmak için karmaşık ikili analiz kullanan son teknoloji araçlardan yararlanmalıdır.