网络犯罪分子正将GitHub和GitLab这类高度可信的开发平台,转变为传播恶意软件和窃取用户凭证的重要渠道。由于企业日常运营依赖这些平台,多数安全设备默认信任其域名,使攻击流量更容易绕过检测并进入企业邮箱系统。
GitHub和GitLab原本用于代码托管与协作开发,但攻击者正利用其开放性,将恶意文件上传至公共仓库,或构造仿真度极高的钓鱼页面链接。这些链接外观与正常开发资源无异,从而成功规避安全邮件网关(SEG)的拦截。
自2021年以来,Git平台被滥用的情况持续上升,至2025年已占相关攻击活动的45%。研究人员发现,攻击方式也在演变——不再局限单一目的,而是将恶意软件投递与凭证窃取结合在同一攻击链中。
在实际案例中,95%的攻击依赖GitHub,其余针对GitLab。从目的来看,58%为凭证窃取,42%用于传播恶意软件。更值得警惕的是“双重攻击”模式:用户打开伪装文件(如PDF阅读器)时,后台悄然安装窃密程序(如Muck Stealer),同时弹出仿造登录页面(如DocuSign)诱导输入账号信息。
在投递手法上,攻击者通常利用github.com或githubusercontent.com托管恶意文件。通过raw.githubusercontent.com链接,可在后台实现静默下载,无需用户明显操作。这类方式常用于分发远程控制木马(RAT),其中Remcos RAT占比最高(21%),其次为Byakugan、AsyncRAT和DcRAT等。
为了规避检测,恶意程序往往被打包在带密码的.zip或.7z压缩文件中,而密码只在钓鱼邮件中提供,使平台自身的自动扫描机制难以识别内容。此外,一些攻击还结合设备识别技术(如浏览器UA判断),对Windows用户投递恶意软件,对其他设备则跳转至钓鱼页面,从而提升成功率。
此类攻击的影响已从个人扩展至企业层面,可能导致数据泄露、账户被接管,甚至引发更大范围的网络入侵。
针对这些威胁,建议企业强制启用多因素认证(MFA),降低凭证被盗后的风险;员工应避免点击来源不明的Git平台链接或打开加密附件;安全团队则应引入基于行为的检测技术,而非仅依赖域名信誉,同时通过持续的钓鱼演练提升员工安全意识。
网站资讯
渠道合作
解决方案
更多服务
