{"id":2621,"date":"2024-09-21T04:14:42","date_gmt":"2024-09-21T09:14:42","guid":{"rendered":"https:\/\/zidrave.net\/?p=2621"},"modified":"2024-09-21T04:14:43","modified_gmt":"2024-09-21T09:14:43","slug":"cuidado-con-github-scanner-que-difunde-malware","status":"publish","type":"post","link":"https:\/\/zidrave.net\/index.php\/2024\/09\/21\/cuidado-con-github-scanner-que-difunde-malware\/","title":{"rendered":"Cuidado con ‘GitHub-Scanner’ que difunde malware"},"content":{"rendered":"\n

En el \u00e1mbito de la ciberseguridad, los ataques que combinan diferentes t\u00e9cnicas de enga\u00f1o y distribuci\u00f3n de malware est\u00e1n en constante evoluci\u00f3n. Una de las campa\u00f1as m\u00e1s recientes que ha despertado gran preocupaci\u00f3n es la denominada ‘GitHub Scanner’<\/strong>, que no solo abusa de los repositorios p\u00fablicos de GitHub para la difusi\u00f3n de software malicioso, sino que tambi\u00e9n utiliza el correo electr\u00f3nico<\/strong> como vector de ataque. Este tipo de campa\u00f1as pone en riesgo tanto a desarrolladores como a empresas que dependen de la integridad del c\u00f3digo compartido en plataformas de c\u00f3digo abierto y que pueden verse comprometidos por correos electr\u00f3nicos fraudulentos. En este art\u00edculo, te contamos c\u00f3mo opera esta campa\u00f1a y qu\u00e9 medidas puedes tomar para protegerte.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

\u00bfC\u00f3mo funciona la campa\u00f1a ‘GitHub Scanner’?<\/h2>\n\n\n\n

La campa\u00f1a GitHub Scanner<\/strong> se basa en una estrategia de distribuci\u00f3n doble. Por un lado, se infiltra en repositorios p\u00fablicos de GitHub, a\u00f1adiendo c\u00f3digo malicioso en proyectos aparentemente leg\u00edtimos. Por otro, utiliza el correo electr\u00f3nico<\/strong> para enviar mensajes de phishing o enga\u00f1osos a desarrolladores y administradores de proyectos, inst\u00e1ndolos a interactuar con enlaces maliciosos que comprometen sus sistemas o proyectos de GitHub.<\/p>\n\n\n\n

Abuso de los repositorios de GitHub<\/h3>\n\n\n\n

El primer paso de la campa\u00f1a GitHub Scanner consiste en identificar repositorios vulnerables o proyectos que no son monitoreados activamente. Los atacantes aprovechan estos repositorios para insertar c\u00f3digo malicioso que puede pasar inadvertido entre las actualizaciones del proyecto. En algunos casos, tambi\u00e9n crean repositorios falsos, dise\u00f1ados para parecerse a proyectos populares, pero que contienen malware oculto.<\/p>\n\n\n\n

Una vez que el c\u00f3digo malicioso se inserta en los repositorios, cualquiera que descargue o clone estos proyectos queda expuesto. El malware puede estar dise\u00f1ado para robar informaci\u00f3n confidencial, abrir puertas traseras en los sistemas afectados o simplemente esparcirse a otros usuarios mediante la cadena de suministro de software.<\/p>\n\n\n\n

El papel del correo electr\u00f3nico en la campa\u00f1a<\/h3>\n\n\n\n

El correo electr\u00f3nico se ha convertido en una herramienta crucial para esta campa\u00f1a de distribuci\u00f3n de malware. Los atacantes env\u00edan mensajes dirigidos a desarrolladores y colaboradores de proyectos de GitHub, en los cuales pretenden ser miembros leg\u00edtimos del equipo o usuarios interesados en el c\u00f3digo. Los correos electr\u00f3nicos pueden incluir invitaciones falsas para colaborar<\/strong>, reportes de errores o alertas de seguridad falsas. Estos mensajes suelen contener enlaces que llevan a sitios web maliciosos o descargan archivos que comprometen los sistemas del receptor.<\/p>\n\n\n\n

T\u00e9cnicas comunes utilizadas en los correos electr\u00f3nicos:<\/h4>\n\n\n\n
    \n
  1. Phishing dirigido (Spear Phishing)<\/strong>: Los correos electr\u00f3nicos est\u00e1n personalizados para parecer aut\u00e9nticos, a menudo incluyen informaci\u00f3n espec\u00edfica sobre el proyecto de GitHub en el que trabaja la v\u00edctima o menciones a colaboradores reales. Esto aumenta la probabilidad de que la v\u00edctima conf\u00ede en el mensaje y haga clic en los enlaces maliciosos.<\/li>\n\n\n\n
  2. Archivos adjuntos maliciosos<\/strong>: Algunos correos contienen archivos adjuntos que parecen ser documentaci\u00f3n t\u00e9cnica, instrucciones de actualizaci\u00f3n o informes de seguridad. Estos archivos, al ser abiertos, ejecutan malware en el sistema de la v\u00edctima.<\/li>\n\n\n\n
  3. Enlaces falsos a GitHub<\/strong>: Los atacantes crean sitios web que imitan las p\u00e1ginas de GitHub o las de herramientas populares de desarrollo. Los enlaces dentro del correo electr\u00f3nico dirigen a la v\u00edctima a estos sitios falsos, donde se les pide ingresar sus credenciales de GitHub. Esta t\u00e1ctica, conocida como suplantaci\u00f3n de identidad (spoofing)<\/strong>, busca robar credenciales y acceder a las cuentas reales de GitHub de los desarrolladores.<\/li>\n\n\n\n
  4. Actualizaciones de seguridad falsas<\/strong>: Los correos electr\u00f3nicos a menudo advierten sobre supuestas vulnerabilidades de seguridad en los proyectos de la v\u00edctima y ofrecen enlaces para descargar \u00abparches\u00bb que en realidad contienen malware.<\/li>\n<\/ol>\n\n\n\n

    Objetivos principales de la campa\u00f1a<\/h2>\n\n\n\n

    El objetivo principal de esta campa\u00f1a es comprometer proyectos en GitHub para difundir malware de manera masiva. Sin embargo, tambi\u00e9n busca robar credenciales de acceso<\/strong>, comprometer la seguridad de sistemas y servidores de empresas y difundir malware a trav\u00e9s de la cadena de suministro del software<\/strong>. Este tipo de ataque puede afectar tanto a proyectos individuales como a empresas que dependen de repositorios de GitHub para desarrollar sus productos.<\/p>\n\n\n\n

      \n
    1. Desarrolladores individuales<\/strong>: Aquellos que clonen o descarguen un repositorio comprometido pueden ejecutar el c\u00f3digo malicioso sin saberlo, comprometiendo sus sistemas locales y proyectos personales.<\/li>\n\n\n\n
    2. Empresas<\/strong>: Las organizaciones que integran componentes de c\u00f3digo abierto en sus sistemas est\u00e1n en riesgo si un proyecto clave se ve comprometido. El malware podr\u00eda infiltrarse en el software que la empresa desarrolla y distribuye, afectando a sus clientes y usuarios finales.<\/li>\n\n\n\n
    3. Proyectos de c\u00f3digo abierto<\/strong>: Dado que muchos proyectos dependen de bibliotecas y dependencias externas, una vez que un repositorio es comprometido, el malware puede propagarse r\u00e1pidamente a otros proyectos interconectados.<\/li>\n<\/ol>\n\n\n\n

      Ejemplos recientes de ataques relacionados<\/h2>\n\n\n\n

      No es la primera vez que los ciberdelincuentes aprovechan GitHub y el correo electr\u00f3nico para propagar malware. A lo largo de los a\u00f1os, han surgido diversos incidentes en los que repositorios populares han sido comprometidos mediante t\u00e1cticas similares.<\/p>\n\n\n\n

      En 2020, por ejemplo, un popular paquete de Python alojado en PyPI<\/strong>, llamado \u00abjeIlyfish\u00bb, fue clonado y modificado por atacantes para incluir c\u00f3digo malicioso. Del mismo modo, en GitHub, se han identificado varios casos en los que proyectos populares<\/strong> fueron modificados por atacantes que lograron acceder a los repositorios mediante t\u00e9cnicas de phishing o ingenier\u00eda social.<\/p>\n\n\n\n

      En estos incidentes, los desarrolladores y usuarios de las dependencias afectadas descargaron e implementaron el c\u00f3digo malicioso en sus propios proyectos, permitiendo a los atacantes acceder a sistemas internos, robar datos o insertar puertas traseras.<\/p>\n\n\n\n

      Consejos para protegerte de esta campa\u00f1a<\/h2>\n\n\n\n

      Ante la creciente sofisticaci\u00f3n de estas campa\u00f1as, es fundamental que desarrolladores, administradores de sistemas y empresas adopten medidas de seguridad proactivas<\/strong> para mitigar el riesgo. A continuaci\u00f3n, se presentan algunos pasos clave que puedes seguir:<\/p>\n\n\n\n

      1. Cuidado con los correos electr\u00f3nicos sospechosos<\/strong><\/h3>\n\n\n\n

      Es esencial estar alerta ante cualquier correo electr\u00f3nico relacionado con proyectos de GitHub, especialmente si incluye enlaces o archivos adjuntos. Revisa cuidadosamente la direcci\u00f3n de correo del remitente, verifica que el dominio sea aut\u00e9ntico y evita hacer clic en enlaces de correos sospechosos.<\/p>\n\n\n\n

      2. Verificaci\u00f3n de enlaces<\/strong><\/h3>\n\n\n\n

      Antes de interactuar con cualquier enlace que recibas por correo electr\u00f3nico, verifica su autenticidad. Pasa el cursor sobre el enlace para ver la URL completa y aseg\u00farate de que realmente te dirija a un sitio leg\u00edtimo, como GitHub.<\/p>\n\n\n\n

      3. Activaci\u00f3n de autenticaci\u00f3n multifactor (MFA)<\/strong><\/h3>\n\n\n\n

      Una de las mejores maneras de proteger tu cuenta de GitHub es activar la autenticaci\u00f3n multifactor<\/strong> (MFA). Esto proporciona una capa adicional de seguridad, ya que incluso si tus credenciales son robadas, los atacantes necesitar\u00e1n un segundo factor para acceder a tu cuenta.<\/p>\n\n\n\n

      4. Revisar contribuciones y parches cuidadosamente<\/strong><\/h3>\n\n\n\n

      Si administras un repositorio de GitHub, aseg\u00farate de revisar minuciosamente cada contribuci\u00f3n o parche propuesto por colaboradores externos. Utiliza revisiones de c\u00f3digo exhaustivas y, si es posible, haz que m\u00faltiples miembros del equipo revisen los cambios antes de aceptarlos.<\/p>\n\n\n\n

      5. Uso de herramientas de escaneo de seguridad<\/strong><\/h3>\n\n\n\n

      Existen herramientas dise\u00f1adas para escanear proyectos de GitHub en busca de posibles vulnerabilidades o c\u00f3digo malicioso. GitHub ofrece integraciones de seguridad, como CodeQL<\/strong>, que pueden ayudarte a identificar amenazas potenciales en tu c\u00f3digo.<\/p>\n\n\n\n

      6. Auditor\u00eda y control de dependencias<\/strong><\/h3>\n\n\n\n

      Es fundamental llevar un control riguroso de las dependencias que utilizas en tus proyectos. Implementa auditor\u00edas peri\u00f3dicas para asegurarte de que las bibliotecas y paquetes que integras no contengan vulnerabilidades conocidas o c\u00f3digo malicioso.<\/p>\n\n\n\n

      Conclusi\u00f3n<\/h2>\n\n\n\n

      La campa\u00f1a GitHub Scanner<\/strong>, que combina el abuso de repositorios de c\u00f3digo abierto con el phishing a trav\u00e9s de correo electr\u00f3nico, es una amenaza creciente en el mundo del desarrollo de software. Esta campa\u00f1a subraya la importancia de estar vigilantes al interactuar con proyectos en GitHub y de adoptar buenas pr\u00e1cticas de seguridad en la gesti\u00f3n de dependencias y contribuciones.<\/p>\n\n\n\n

      Los desarrolladores y empresas que dependen del c\u00f3digo abierto deben tomar medidas preventivas para evitar ser v\u00edctimas de este tipo de ataques, y mantenerse informados sobre las \u00faltimas t\u00e1cticas que los ciberdelincuentes emplean para comprometer la integridad de los proyectos de software. En un mundo digital donde el c\u00f3digo abierto es fundamental para el desarrollo de software, la seguridad debe ser una prioridad m\u00e1xima.<\/p>\n","protected":false},"excerpt":{"rendered":"

      En el \u00e1mbito de la ciberseguridad, los ataques que combinan<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[2377,2375,4441],"tags":[6472,6479,2262,6473,1702,250,5058,2126,6474,2266,6476,6470,188,191,6478,6477,6480,6471,6475,4850],"class_list":["post-2621","post","type-post","status-publish","format-standard","hentry","category-ciberseguridad","category-internet","category-programacion","tag-ataque-de-ingenieria-social","tag-ataques-a-la-cadena-de-suministro","tag-auditoria-de-seguridad","tag-autenticacion-multifactor","tag-ciberseguridad","tag-codigo-abierto","tag-codigo-malicioso","tag-correo-electronico","tag-dependencias-vulnerables","tag-desarrolladores","tag-github-codeql","tag-github-scanner","tag-malware","tag-phishing","tag-proyectos-comprometidos","tag-puertas-traseras","tag-repositorios-falsos","tag-repositorios-publicos","tag-spear-phishing","tag-suplantacion-de-identidad"],"_links":{"self":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/2621","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/comments?post=2621"}],"version-history":[{"count":1,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/2621\/revisions"}],"predecessor-version":[{"id":2622,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/2621\/revisions\/2622"}],"wp:attachment":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/media?parent=2621"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/categories?post=2621"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/tags?post=2621"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}