GitHub被滥用于传播恶意软件的分析与防范指南

一、攻击概述

黑客正在滥用GitHub平台传播信息窃取型恶意软件，主要针对Windows用户。这种攻击方式通过受感染的Magento网站注入恶意脚本，诱导用户下载伪装成Flash Player更新的恶意程序。

二、攻击技术细节

1. 攻击链分析

1. 网站注入：攻击者入侵Magento网站后注入恶意脚本

   <script type="text/javascript" src="https://bit.wo[.]tc/js/lib/js.js"></script>
   

2. 恶意脚本功能：

   • 创建隐藏的div元素
   • 短暂延迟后显示伪造的Flash Player更新横幅
   • 诱导用户下载恶意程序

3. 恶意软件托管：

   • 使用GitHub存储库托管恶意文件
   • 示例URL：https://github.com/flashplayer31/flash/raw/master/flashplayer28pp_xa_install.exe

2. GitHub滥用技术

攻击者利用GitHub的以下特性：

• 免费托管：无需成本即可托管恶意文件
• 自动化支持：可通过API实现自动化更新
• 高信誉域名：GitHub.com通常不被安全工具列入黑名单
• 快速更新机制：
  • 每天至少更新一次二进制文件
  • 通过频繁重新打包绕过杀毒软件检测
  • 更改可立即从主分支下载

三、恶意软件分析

1. LokiBot信息窃取木马

• 类型：信息窃取型恶意软件(infostealer)
• 主要功能：
  • 窃取电子邮件客户端和浏览器的凭证
  • 窃取FTP客户端(FileZilla, FlashFXP, WS_FTP等)的登录信息
  • 窃取SSH程序(如PuTTY)的凭据

2. 攻击目标

主要针对：

• 网站管理员
• 网站开发人员
• 使用FTP/SSH工具的专业人士

四、防御措施

1. 基础防护

• 安装知名且信誉良好的安全防护软件
• 定期更新操作系统和基础网络软件
  • 包括浏览器、FTP客户端、CMS等
• 仅从官方渠道获取软件更新

2. 凭据管理最佳实践

• 避免保存密码：
  • 不要在FileZilla等FTP客户端中保存密码
  • 不要在浏览器中存储网站、网络邮件或银行密码
• 使用专业密码管理器：仅使用可信度高的密码管理工具
• 启用多因素认证：尽可能使用双因素认证(2FA)
• 使用更安全的协议：
  • 优先使用SFTP而非FTP
  • 使用私钥认证替代密码认证

3. 应急响应

• 发现安全事件后立即更改所有相关密码
• 检查系统是否已被感染
• 监控异常登录活动

五、针对GitHub滥用的防护建议

1. 用户教育：

   • 警惕非官方GitHub仓库提供的"软件更新"
   • 验证GitHub账户和仓库的创建时间(新创建的更可疑)

2. 技术防护：

   • 在企业环境中限制对GitHub raw下载的访问
   • 部署能够检测恶意文件的高级威胁防护方案

3. 报告机制：

   • 发现可疑仓库及时向GitHub举报
   • 但需意识到攻击者可快速创建新账户

六、历史背景

这种攻击方式并非全新，在6-10年前曾是黑客入侵网站的主流方法。虽然现在不如从前流行，但潜在威胁仍然严重，特别是针对保存有大量网站凭据的管理人员和开发者。

通过实施上述防护措施，可以显著降低凭据被窃取的风险，保护个人和组织的重要数字资产。