Cuidado con ‘GitHub-Scanner’ que difunde malware

En el ámbito de la ciberseguridad, los ataques que combinan diferentes técnicas de engaño y distribución de malware están en constante evolución. Una de las campañas más recientes que ha despertado gran preocupación es la denominada ‘GitHub Scanner’, que no solo abusa de los repositorios públicos de GitHub para la difusión de software malicioso, sino que también utiliza el correo electrónico como vector de ataque. Este tipo de campañas pone en riesgo tanto a desarrolladores como a empresas que dependen de la integridad del código compartido en plataformas de código abierto y que pueden verse comprometidos por correos electrónicos fraudulentos. En este artículo, te contamos cómo opera esta campaña y qué medidas puedes tomar para protegerte.

¿Cómo funciona la campaña ‘GitHub Scanner’?

La campaña GitHub Scanner se basa en una estrategia de distribución doble. Por un lado, se infiltra en repositorios públicos de GitHub, añadiendo código malicioso en proyectos aparentemente legítimos. Por otro, utiliza el correo electrónico para enviar mensajes de phishing o engañosos a desarrolladores y administradores de proyectos, instándolos a interactuar con enlaces maliciosos que comprometen sus sistemas o proyectos de GitHub.

Abuso de los repositorios de GitHub

El primer paso de la campaña GitHub Scanner consiste en identificar repositorios vulnerables o proyectos que no son monitoreados activamente. Los atacantes aprovechan estos repositorios para insertar código malicioso que puede pasar inadvertido entre las actualizaciones del proyecto. En algunos casos, también crean repositorios falsos, diseñados para parecerse a proyectos populares, pero que contienen malware oculto.

Una vez que el código malicioso se inserta en los repositorios, cualquiera que descargue o clone estos proyectos queda expuesto. El malware puede estar diseñado para robar información confidencial, abrir puertas traseras en los sistemas afectados o simplemente esparcirse a otros usuarios mediante la cadena de suministro de software.

El papel del correo electrónico en la campaña

El correo electrónico se ha convertido en una herramienta crucial para esta campaña de distribución de malware. Los atacantes envían mensajes dirigidos a desarrolladores y colaboradores de proyectos de GitHub, en los cuales pretenden ser miembros legítimos del equipo o usuarios interesados en el código. Los correos electrónicos pueden incluir invitaciones falsas para colaborar, reportes de errores o alertas de seguridad falsas. Estos mensajes suelen contener enlaces que llevan a sitios web maliciosos o descargan archivos que comprometen los sistemas del receptor.

Técnicas comunes utilizadas en los correos electrónicos:

  1. Phishing dirigido (Spear Phishing): Los correos electrónicos están personalizados para parecer auténticos, a menudo incluyen información específica sobre el proyecto de GitHub en el que trabaja la víctima o menciones a colaboradores reales. Esto aumenta la probabilidad de que la víctima confíe en el mensaje y haga clic en los enlaces maliciosos.
  2. Archivos adjuntos maliciosos: Algunos correos contienen archivos adjuntos que parecen ser documentación técnica, instrucciones de actualización o informes de seguridad. Estos archivos, al ser abiertos, ejecutan malware en el sistema de la víctima.
  3. Enlaces falsos a GitHub: Los atacantes crean sitios web que imitan las páginas de GitHub o las de herramientas populares de desarrollo. Los enlaces dentro del correo electrónico dirigen a la víctima a estos sitios falsos, donde se les pide ingresar sus credenciales de GitHub. Esta táctica, conocida como suplantación de identidad (spoofing), busca robar credenciales y acceder a las cuentas reales de GitHub de los desarrolladores.
  4. Actualizaciones de seguridad falsas: Los correos electrónicos a menudo advierten sobre supuestas vulnerabilidades de seguridad en los proyectos de la víctima y ofrecen enlaces para descargar «parches» que en realidad contienen malware.

Objetivos principales de la campaña

El objetivo principal de esta campaña es comprometer proyectos en GitHub para difundir malware de manera masiva. Sin embargo, también busca robar credenciales de acceso, comprometer la seguridad de sistemas y servidores de empresas y difundir malware a través de la cadena de suministro del software. Este tipo de ataque puede afectar tanto a proyectos individuales como a empresas que dependen de repositorios de GitHub para desarrollar sus productos.

  1. Desarrolladores individuales: Aquellos que clonen o descarguen un repositorio comprometido pueden ejecutar el código malicioso sin saberlo, comprometiendo sus sistemas locales y proyectos personales.
  2. Empresas: Las organizaciones que integran componentes de código abierto en sus sistemas están en riesgo si un proyecto clave se ve comprometido. El malware podría infiltrarse en el software que la empresa desarrolla y distribuye, afectando a sus clientes y usuarios finales.
  3. Proyectos de código abierto: Dado que muchos proyectos dependen de bibliotecas y dependencias externas, una vez que un repositorio es comprometido, el malware puede propagarse rápidamente a otros proyectos interconectados.

Ejemplos recientes de ataques relacionados

No es la primera vez que los ciberdelincuentes aprovechan GitHub y el correo electrónico para propagar malware. A lo largo de los años, han surgido diversos incidentes en los que repositorios populares han sido comprometidos mediante tácticas similares.

En 2020, por ejemplo, un popular paquete de Python alojado en PyPI, llamado «jeIlyfish», fue clonado y modificado por atacantes para incluir código malicioso. Del mismo modo, en GitHub, se han identificado varios casos en los que proyectos populares fueron modificados por atacantes que lograron acceder a los repositorios mediante técnicas de phishing o ingeniería social.

En estos incidentes, los desarrolladores y usuarios de las dependencias afectadas descargaron e implementaron el código malicioso en sus propios proyectos, permitiendo a los atacantes acceder a sistemas internos, robar datos o insertar puertas traseras.

Consejos para protegerte de esta campaña

Ante la creciente sofisticación de estas campañas, es fundamental que desarrolladores, administradores de sistemas y empresas adopten medidas de seguridad proactivas para mitigar el riesgo. A continuación, se presentan algunos pasos clave que puedes seguir:

1. Cuidado con los correos electrónicos sospechosos

Es esencial estar alerta ante cualquier correo electrónico relacionado con proyectos de GitHub, especialmente si incluye enlaces o archivos adjuntos. Revisa cuidadosamente la dirección de correo del remitente, verifica que el dominio sea auténtico y evita hacer clic en enlaces de correos sospechosos.

2. Verificación de enlaces

Antes de interactuar con cualquier enlace que recibas por correo electrónico, verifica su autenticidad. Pasa el cursor sobre el enlace para ver la URL completa y asegúrate de que realmente te dirija a un sitio legítimo, como GitHub.

3. Activación de autenticación multifactor (MFA)

Una de las mejores maneras de proteger tu cuenta de GitHub es activar la autenticación multifactor (MFA). Esto proporciona una capa adicional de seguridad, ya que incluso si tus credenciales son robadas, los atacantes necesitarán un segundo factor para acceder a tu cuenta.

4. Revisar contribuciones y parches cuidadosamente

Si administras un repositorio de GitHub, asegúrate de revisar minuciosamente cada contribución o parche propuesto por colaboradores externos. Utiliza revisiones de código exhaustivas y, si es posible, haz que múltiples miembros del equipo revisen los cambios antes de aceptarlos.

5. Uso de herramientas de escaneo de seguridad

Existen herramientas diseñadas para escanear proyectos de GitHub en busca de posibles vulnerabilidades o código malicioso. GitHub ofrece integraciones de seguridad, como CodeQL, que pueden ayudarte a identificar amenazas potenciales en tu código.

6. Auditoría y control de dependencias

Es fundamental llevar un control riguroso de las dependencias que utilizas en tus proyectos. Implementa auditorías periódicas para asegurarte de que las bibliotecas y paquetes que integras no contengan vulnerabilidades conocidas o código malicioso.

Conclusión

La campaña GitHub Scanner, que combina el abuso de repositorios de código abierto con el phishing a través de correo electrónico, es una amenaza creciente en el mundo del desarrollo de software. Esta campaña subraya la importancia de estar vigilantes al interactuar con proyectos en GitHub y de adoptar buenas prácticas de seguridad en la gestión de dependencias y contribuciones.

Los desarrolladores y empresas que dependen del código abierto deben tomar medidas preventivas para evitar ser víctimas de este tipo de ataques, y mantenerse informados sobre las últimas tácticas que los ciberdelincuentes emplean para comprometer la integridad de los proyectos de software. En un mundo digital donde el código abierto es fundamental para el desarrollo de software, la seguridad debe ser una prioridad máxima.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *