깃허브는 현재 1억 명이 넘는 개발자가 이용하고 있다. 하지만 이런 인기를 악용해 사이버 범죄자에 의한 악성코드 전달에 깃허브가 이용되고 있다는 게 지적되고 있다.
사이버 보안 기업인 리코디드퓨처(Recorded Future)는 2024년 1월 11일 발표한 보고서에서 깃허브가 악성코드를 지원, 배포하기 위해 사이버 범죄자에 의해 자주 악용되고 있다고 경고했다. 이에 따르면 기업망이 깃허브 도메인을 차단하는 경우는 거의 없다는 걸 장점 삼아 사이버 범죄자가 악성코드 배포에 깃허브를 이용하고 있다고 한다.
반면 깃허브는 PHP 백엔드를 지원하지 않으며 PHP 기반 멀웨어를 배포하려는 사이버 범죄자에게 제한이 있다. 또 글로벌 규모 소프트웨어 개발 플랫폼인 깃허브에는 강력한 보안팀이 존재하는 것으로 보이며 전송할 수 있는 파일 크기와 대역폭에 제한이 부과되어 있으며 악성코드에 의한 공격 리소스에 한계가 될 수 있다.
그럼에도 불구하고 사이버 범죄자는 깃허브를 사용해 페이로드 배포와 명령 제어 및 데이터 유출을 수행하는 것으로 간주되고 있다. 또 보고서에선 2023년 3∼11월까지 샘플에서 악용된 깃허브 서비스 내역을 공개하고 있으며 대부분 RAW 파일과 오브젝트(Objects)가 차지하고 있는 것으로 보고했다.
또 악의적 인프라에 깃허브 서비스를 활용하면 사이버 범죄자는 합법적인 네트워크 트래픽에 악성코드를 섞을 수 있으며 보안 블록을 돌파해 어스트림 추적이 어려워진다고 보고하고 있다. 이런 악성코드에 대해 악용될 수 있는 깃허브 서비스를 신고하거나 차단할 걸 권장하고 구체적인 방어 전략을 취해야 한다고 제언하고 있다.
깃허브 측은 이번 보고에 대해 악성코드 배포에 깃허브가 이용되고 있다는 문제는 업계 전체 서비스에 영향을 미칠 수 있다며 콘텐츠 탐지, 분석 및 삭제를 전문 처리하는 팀이 있으며 머신러닝을 이용해 검토 탐지해 악성 콘텐츠에 대한 진화에도 대응하고 있다고 밝히고 있다. 관련 내용은 이곳에서 확인할 수 있다.