Die allgegenwärtige Nutzung von GitHub in Informationstechnologie-Umgebungen macht es zu einer lukrativen Wahl für Angreifer, um schädliche Nutzlasten zu hosten und bereitzustellen sowie als „Dead Drop Resolver“, Command-and-Control- und Datenextraktionspunkte zu fungieren. Laut dem Cybersicherheitsunternehmen Recorded Future ermöglicht es die Verwendung von GitHub für bösartige Infrastruktur Gegnern, sich mit rechtmäßigem Netzwerkverkehr zu vermischen und herkömmliche Sicherheitsvorkehrungen zu umgehen, was die Rückverfolgung der Infrastruktur und die Zuordnung der Akteure erschwert. Recorded Future beschreibt diesen Ansatz als „Living-off-Trusted-Sites“ (LOTS), eine Variation der „Living-off-the-Land“ (LotL)-Techniken, die von Bedrohungsakteuren oft zur Verschleierung ihrer Aktivitäten und zur Unterstützung des Umgehen von Aufmerksamkeit eingesetzt werden. Eine prominente Methode, wie GitHub missbraucht wird, betrifft die Bereitstellung von Nutzlasten, wobei einige Akteure dessen Funktionen zur Verschleierung von Command-and-Control (C2) nutzen. Letzten Monat beschrieb ReversingLabs eine Reihe von schadhaften Python-Paketen, die auf einer geheimen Gist-Datei auf GitHub beruhten und auf den kompromittierten Hosts schädliche Befehle empfingen. Im Vergleich zu anderen Infrastruktursystemen sind vollwertige C2-Implementierungen in GitHub selten, aber seine Nutzung durch Bedrohungsakteure als „Dead Drop Resolver“ ist deutlich verbreiteter. Hierbei wird die Information aus einem von den Akteuren kontrollierten GitHub-Repository genutzt, um die tatsächliche C2-URL zu erhalten. Diese Praxis ist unter anderem bei Malware wie Drokbk und ShellBox zu beobachten. Der Missbrauch von GitHub zur Datenextraktion ist selten, was laut Recorded Future wahrscheinlich auf die Dateigröße und Speicherbegrenzungen und Bedenken hinsichtlich der Entdeckbarkeit zurückzuführen ist. Neben diesen vier Hauptschemata wird die Plattform auch auf verschiedene andere Weisen genutzt, um infrastrukturbezogene Zwecke zu erfüllen. GitHub Pages werden beispielsweise als Phishing-Hosts oder Traffic-Umleiter genutzt, wobei einige Kampagnen ein GitHub-Repository als Backup-C2-Kanal verwenden. Diese Entwicklung ist Teil des breiteren Trends, bei dem legitime Internetdienste wie Google Drive, Microsoft OneDrive, Dropbox, Notion, Firebase, Trello und Discord von Bedrohungsakteuren ausgenutzt werden. Dazu gehören auch andere Quellcode- und Versionskontrollplattformen wie GitLab, BitBucket und Codeberg. Es gibt keine universelle Lösung für die Erkennung von GitHub-Missbrauch, sondern es ist eine Kombination von Erkennungsstrategien erforderlich, die von spezifischen Umgebungen und Faktoren wie der Verfügbarkeit von Protokollen, der Organisationsstruktur, den Nutzungsmustern des Dienstes und der Risikotoleranz abhängen, so Recorded Future.