作者：雅各布·马林班

2024 年，Cofense Intelligence 检测到利用 GitHub 链接绕过安全企业邮箱网关 (SEG) 安全性的网络钓鱼活动。在本次活动中, 使用开源纳税申报软件、UsTaxes、HMRC 和 InlandRevenue 等合法存储库来代替未知且性能不佳的存储库。与恶意行为者创建自己的恶意 GitHub 存储库相比，使用可信存储库来分发恶意软件相对较新。这些恶意 GitHub 链接可以与任何允许评论的存储库关联。

这次网络钓鱼活动的目的是立即提供税收扩张援助。 GitHub 上的链接档案受到密码保护，以确保合法性（通过企业邮箱发送机密信息）并阻止恶意软件扫描解决方案。受密码保护的存档包含 Remcos 远程访问木马 (RAT)。

要点

• GitHub 用于从受信任的存储库分发恶意软件，但恶意软件存在于存储库代码之外。
• 遭受滥用的信托存储库隶属于合法的税务组织。
• GitHub 是一个深受用户和 SEG 信赖的品牌。恶意攻击者在网络钓鱼企业邮箱中使用 GitHub 链接可以绕过 SEG 安全性。
• 该网络钓鱼活动针对金融行业，并声称帮助他们在四月截止日期后报税。
• Remcos RAT 已在此活动的所有实例中交付。

GitHub 评论是什么？

图 1：上传文件而不将其提交到存储库的 GitHub 评论。

GitHub 是一个允许软件项目开放协作的开发平台。为了方便开发者之间的交流，可以将GitHub注释添加到源代码存储库中。这些评论的内容可能包括但不限于建议的更改、用户提供的有关问题的附加信息或文档，并且可以以格式化文本、外部链接和附件的形式提交。评论对于使用 GitHub 问题进行项目管理特别有用。在这里，软件开发人员可以使用它来记录问题、为新贡献者创建微任务、接收新功能请求以及创建软件进度路线图。

GitHub 评论对于威胁参与者非常有用，因为恶意软件可以附加到 GitHub 存储库中的评论，而无需将其上传到该存储库的源代码文件。这意味着任何允许评论的组织的合法 GitHub 存储库都可能包含经过验证的代码之外的不受信任的文件。攻击者之前曾利用此漏洞通过 Microsoft 相关存储库分发 Redline Stealer。通过评论上传的未经授权的文件最终会出现在 文件子目录：

hxxps(:)//github(.)com/python/cpython/文件/12345678/示例(.)zip

请注意，已验证的存储库文件可从 树 子目录：

hxxps(:)//github(.)com/python/cpython/树/主/文档

使用 GitHub 注释方法，文件可以与合法存储库（例如 Python 的 Python 存储库）关联，但在代码中不可见。包含恶意文件的原始评论可能会被删除，但恶意软件的链接将保持活动状态。

GitHub 评论税收延期活动

图 2：尽管威胁行为者的评论已被删除，但 Remcos RAT 存档下载仍然处于活动状态。

使用 GitHub 托管恶意软件并不是什么新策略。包含 GitHub 链接的企业邮箱可以有效绕过 SEG 安全性，因为 GitHub 通常是受信任的域。 GitHub 链接允许威胁行为者直接链接到企业邮箱中包含的恶意软件档案，而无需使用 Google 重定向、QR 码或其他 SEG 规避技术。

2024 年第二季度末，不良行为者发起了网络钓鱼企业邮箱，声称可以帮助他们在 4 月截止日期之后报税。我们鼓励收件人单击 GitHub 链接来接收税务相关文件的存档。实际上受密码保护的存档包含 Remcos RAT 而不是 PDF。如果受害者打开“税务文件”，Remcos RAT 就会将其自身安装在计算机上，并为威胁行为者提供远程访问权限。此活动的一个版本正在进行中，该版本的 Remcos RAT 可执行文件直接托管在威胁参与者的 GitHub 页面上。

Remcos RAT 已通过评论上传至 UsTaxes、HMRC 和 InlandRevenue 拥有的存储库。攻击者利用英国税务海关总署和新西兰税务局信息库等隐式可信来源来增加税收延期活动的合法性。尽管删除了原始评论，Remcos RAT 下载链接仍然有效。

谁是目标？

图 3：通过 GitHub 评论链接提供 Remcos RAT 的示例企业邮箱。

由于这是一次以税收为主题的恶意软件活动，因此任何部门都可能成为目标，因为大多数组织都纳税。仔细观察数据发现，只有两个行业成为目标：保险和金融。请注意，任何行业都可能成为目标，就像针对许多行业的二维码活动一样，但事实并非如此。一种解释是，该活动的影响范围小于二维码，威胁行为者正在测试这种网络钓鱼针对保险和金融行业的有效性。

图 4：GitHub 税收扩张活动的目标行业。