Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
GitBait to kampania phishingowa wykorzystująca zaufanie do popularnych usług chmurowych i deweloperskich, takich jak GitHub Pages, do publikowania fałszywych stron wyłudzających dane. Mechanizm ten wpisuje się w szerszy trend nadużywania legalnych platform hostingowych do omijania filtrów reputacyjnych, budowania wiarygodności oraz szybkiego uruchamiania infrastruktury ataku.
W tym modelu atakujący nie musi utrzymywać własnego zaplecza serwerowego. Zamiast tego korzysta z rozpoznawalnych usług, które zapewniają certyfikaty TLS, znane domeny i łatwą publikację treści, co zwiększa szansę powodzenia kampanii.
W skrócie
Kampania określana jako GitBait wykorzystywała GitHub Pages do hostowania stron phishingowych oraz usługę SheetBest do obsługi lub pośredniego przetwarzania danych przesyłanych przez formularze. To połączenie pozwala napastnikom zbudować kompletny łańcuch wyłudzenia bez rozwijania własnego backendu.
- fałszywe strony są osadzane w wiarygodnym środowisku hostingowym,
- dane z formularzy mogą trafiać do zewnętrznych usług API i arkuszy,
- infrastruktura jest tania, szybka do odtworzenia i trudniejsza do blokowania,
- ofiary częściej ufają adresom opartym o znane platformy.
Kontekst / historia
W ostatnich latach cyberprzestępcy coraz częściej odchodzą od własnych, krótkotrwałych domen na rzecz legalnych usług chmurowych i static hostingu. Tego typu platformy oferują łatwą publikację zasobów, poprawną konfigurację HTTPS oraz wysoki poziom rozpoznawalności, co czyni je atrakcyjnym nośnikiem phishingu.
GitHub Pages jest szczególnie użyteczny w takim scenariuszu, ponieważ umożliwia niemal natychmiastowe uruchomienie strony bez skomplikowanej administracji serwerem. Połączenie tego modelu z narzędziami do przesyłania danych formularzy, takimi jak SheetBest, pozwala napastnikom znacząco obniżyć koszt kampanii i skrócić czas wdrożenia.
Nie jest to klasyczna podatność w oprogramowaniu. Problem dotyczy nadużycia legalnych usług jako elementów infrastruktury ataku, podobnie jak wcześniej w przypadku publicznych CDN-ów, formularzy online czy prostych platform do hostowania treści.
Analiza techniczna
Techniczny model działania GitBait jest stosunkowo prosty, ale bardzo skuteczny. Atakujący tworzy statyczną stronę HTML, CSS i JavaScript imitującą logowanie do usługi, panel biznesowy, stronę płatności lub formularz dostępu. Następnie publikuje ją przez GitHub Pages, dzięki czemu ofiara widzi adres oparty o znaną usługę.
Kolejnym etapem jest przechwycenie danych wpisanych przez użytkownika. W tradycyjnym phishingu formularz wysyła informacje bezpośrednio na serwer napastnika. W modelu GitBait część logiki zostaje przeniesiona do usług pośredniczących, takich jak API zapisujące dane do arkuszy lub innych zewnętrznych repozytoriów. Dzięki temu napastnik może zbierać dane bez utrzymywania własnego backendu aplikacyjnego.
Z punktu widzenia obrony szczególnie istotne są trzy właściwości tej techniki. Po pierwsze, sama strona phishingowa może być całkowicie statyczna. Po drugie, exfiltracja danych może być ukryta w skryptach JavaScript i wywołaniach do zewnętrznych API. Po trzecie, infrastruktura może zostać szybko odtworzona po zablokowaniu pojedynczego repozytorium lub konta.
W praktyce podobne kampanie często wykorzystują także dodatkowe zabiegi zwiększające skuteczność:
- nazwy projektów i ścieżki URL przypominające legalne zasoby,
- kopiowanie identyfikacji wizualnej prawdziwych serwisów,
- proste mechanizmy antyanalizy,
- rotację repozytoriów i kont publikujących,
- dystrybucję linków przez e-mail, komunikatory lub SEO poisoning.
Konsekwencje / ryzyko
Najbardziej oczywistym skutkiem jest kradzież poświadczeń, danych osobowych oraz informacji biznesowych. Jeśli kampania podszywa się pod dostawcę SaaS, system pocztowy lub platformę współpracy, przejęte konto może stać się punktem wejścia do dalszej kompromitacji organizacji.
Ryzyko rośnie, gdy użytkownik stosuje te same hasła w wielu usługach albo gdy phishing przechwytuje tokeny sesyjne, dane finansowe lub szczegóły organizacyjne przydatne w kolejnych atakach socjotechnicznych. Dla zespołów SOC i administratorów problem polega również na tym, że ruch do popularnych usług hostingowych może nie być od razu uznany za podejrzany.
- przejęcie kont użytkowników,
- nadużycie dostępu do poczty i aplikacji chmurowych,
- eskalacja do ataków BEC,
- kradzież danych klientów i partnerów,
- wykorzystanie legalnych kont do dalszego rozsyłania phishingu.
Rekomendacje
Organizacje powinny odejść od założenia, że znana platforma hostingowa automatycznie oznacza niski poziom ryzyka. W praktyce konieczna jest analiza pełnego adresu URL, ścieżki, treści strony oraz zachowania skryptów, a nie tylko ocena reputacji domeny głównej.
Najważniejsze działania obronne obejmują:
- wdrożenie filtracji URL opartej na analizie treści i renderowaniu strony,
- monitorowanie ruchu HTTP i HTTPS do nietypowych ścieżek w znanych usługach hostingowych,
- blokowanie lub dodatkową inspekcję formularzy wysyłających dane do zewnętrznych API,
- egzekwowanie MFA odpornego na phishing tam, gdzie to możliwe,
- szkolenie użytkowników z rozpoznawania stron logowania umieszczonych w nietypowych lokalizacjach,
- wdrożenie detekcji brand impersonation i lookalike pages,
- szybkie procedury zgłaszania nadużyć do operatorów platform.
Zespoły bezpieczeństwa powinny również rozwijać reguły detekcyjne, które uwzględniają:
- nowe lub rzadko spotykane ścieżki w obrębie znanych usług,
- formularze logowania hostowane poza oficjalnymi domenami organizacji,
- skrypty JavaScript komunikujące się z usługami arkuszy, webhooków lub prostych API danych,
- nietypowe wzorce referrerów i łańcuchy przekierowań.
W środowiskach enterprise warto dodatkowo stosować sandboxing linków, izolację przeglądarki oraz korelację telemetryczną między pocztą, przeglądarką i systemami tożsamości.
Podsumowanie
GitBait pokazuje, że nowoczesny phishing nie wymaga zaawansowanego malware ani rozbudowanej infrastruktury serwerowej. Wystarczy zestaw legalnych usług, które wspólnie umożliwiają szybkie opublikowanie wiarygodnej strony i przechwycenie danych ofiary.
Dla obrońców kluczowe staje się odejście od modelu zaufania opartego wyłącznie na renomie domeny. Skuteczna ochrona musi uwzględniać kontekst, treść, sposób działania strony oraz kanały przesyłania danych. Nadużycia GitHub Pages i usług pośredniczących, takich jak SheetBest, są kolejnym dowodem na to, że granica między legalną infrastrukturą a infrastrukturą ataku stale się zaciera.
Źródła
- Infosecurity Magazine – GitBait: attackers abuse GitHub Pages and SheetBest
https://www.infosecurity-magazine.com/news/gitbait-github-pages-sheetbest/ - GitHub Docs – What is GitHub Pages?
https://docs.github.com/en/pages/getting-started-with-github-pages/what-is-github-pages - CSO Online – Macs go phishing as GitHub impostors drop Atomic stealer
https://www.csoonline.com/article/4062342/macs-go-phishing-as-github-impostors-drop-atomic-stealer.html - Malwarebytes – Fake security researchers push malware files on GitHub
https://www.malwarebytes.com/blog/news/2023/06/fake-security-researchers-push-malware-files-on-github - GitHub Docs – About GitHub Pages and Jekyll
https://docs.github.com/en/pages/setting-up-a-github-pages-site-with-jekyll/about-github-pages-and-jekyll