黑客利用GitHub，将恶意软件推送至用户电脑以盗取凭据

最近，我们又发现了使用相同手法的网络犯罪活动。其主要目的是利用GitHub，将二进制信息窃取恶意软件悄无声息的推送至Windows用户的电脑上。

受感染的Mahento网站

最近，识别了数百个受感染的Magento站点均被注入了以下的脚本：

该脚本（js.js）中的内容如下：

此代码会创建隐藏的div，并在短暂延迟后在正常网站内容上方显示假的Flash Player更新banner。

这个攻击与之前攻击的区别主要在于下载URL，它指向了GitHub上的一个恶意文件：

https://github[.]com/flashplayer31/flash/raw/master/flashplayer28pp_xa_install.exe

3月13日，我们将该文件上传至VirusTotal进行检测，结果有一半以上的杀毒软件都认为该文件为木马病毒。当我们将它发送给Malwarebytes的Jerome Segura时，他认为该文件是LokiBot信息窃取恶意软件的变体。

检查GitHub存储库

在包含恶意文件的GitHub存储库中，可以找到对较差检测率的答案：

https://github.com/flashplayer31/flash

帐户（flashplayer31）和存储库（flash）都是在2018年3月8日被创建的，也就是说在我们检测到恶意内容之前还不到一周。

GitHub存储库只包含两个文件：

flashplayer28pp_xa_install.exe（在以上部分已做介绍）和flashplayer28pp_xa_install.iso - 包含ISO映像的特洛伊木马，其中包含恶意/FLASHPLA.EXE。

如果你检查存储库中的提交历史记录，你会发现这两个二进制文件每天至少会被更新一次。

攻击者之所以要频繁的重新打包二进制文件，是为了尽可能的躲避杀毒软件的查杀，然后将更改推送到Git，这就是为什么我们在VirusTotal上主要看到通用和启发式警告的原因。更新后的文件可以立即从GitHub上的主分支下载。

整个过程可以完全自动化的完成，并且可以在没有任何人为干预的情况下工作。

将GitHub作为恶意软件的托管环境

GitHub对于攻击者而言作为托管环境有以下几点优势：

它可以免费使用

它适用于自动化

该域名信誉度高，不易被安全工具列入黑名单

虽然我们可以对该账户投诉并最终禁用它，但是这需要很长一段时间 - 从滥用投诉到帐户关闭 - 并且可以在几分钟内创建新的配置文件。

凭据窃取恶意软件

让我们回到恶意软件本身。LokiBot被定义为“infostealer（信息窃取木马）”，因为它能够从各种流行的电子邮件客户端和Web浏览器中窃取凭证。

该恶意软件还能够窃取来自数十个FTP客户端（例如FileZilla，FlashFXP，WS_FTP等）和SSH程序（例如PUTTY）的登录详细信息，这对于网站管理员和网站开发人员都是非常危险的，攻击者极有可能从他们的站点和服务器窃取他们的凭证。

在6-10年前，这是黑客入侵网站最流行的媒介。一旦网站管理员的计算机受到感染，恶意软件会简单地扫描保存的FTP凭据（大多数FTP客户端以纯文本格式保存）的文件，然后将结果发送到控制服务器。

虽然这种攻击媒介现在不那么受欢迎，但你仍然不能低估它潜在的威胁。

降低凭据窃取恶意软件带来的风险

自2008年开始我的网站安全工作以来，我对站点管理员的建议并没有太大改变。

为防止你的站点凭据被盗，请确保你所维护站点的计算机和设备未受感染。你可以安装一些知名度和声誉较高的防护软件，并定期修补/更新操作系统以及基本网络软件，包括浏览器，FTP客户端，CMS等。当然，这些更新都应来自软件本身，而不是来自不相关的第三方网站。

你还应该避免将密码保存在除可信度较高的任何其它密码管理器以外的程序中。不要让FileZilla保存你的FTP密码，也不要在浏览器中存储任何网站，网络邮件或银行的密码。

如果条件允许，我强烈建议你使用私钥认证和/或双因素认证。使用SFTP而不是FTP - 如今大多数的托管提供商都包含了此选项。

最后，如果你的密码已被窃取（或任何安全事件之后），请尽快更改你的密码。遵循这些步骤将能最大程度的降低你凭据失窃的风险。