Los investigadores de ciberseguridad han encontrado múltiples cuentas en GitHub y plataformas de redes sociales que afirman distribuir exploits de prueba de concepto (PoC) para una serie de vulnerabilidades de día cero supuestamente encontradas en software popular. Sin embargo, una inspección más profunda descubrió que todas las cuentas eran falsas y que los PoC no eran más que malware oculto.
La noticia fue dada a conocer por investigadores de ciberseguridad de VulnCheck, que dijeron que actores de amenazas no identificados crearon una red de cuentas tanto en GitHub como en Twitter, pertenecientes a falsos investigadores de ciberseguridad. Estas cuentas usaban imágenes de perfil pertenecientes a verdaderos expertos en seguridad, lo que llevó a VulnCheck a creer que quienquiera que estuviera detrás del ataque hizo todo lo posible para establecer cierta credibilidad.
En estas cuentas, los expertos falsos compartían exploits de prueba de concepto para supuestas vulnerabilidades de día cero encontradas en software popular como Signal, Discord, Google Chrome o Microsoft Exchange Server.
«Las personas que crean estos repositorios han hecho un gran esfuerzo para que parezcan legítimos mediante la creación de una red de cuentas y perfiles de Twitter, fingiendo ser parte de una empresa inexistente llamada High Sierra Cyber Security», señaló VulnCheck.
Los delincuentes usarían la cuenta para distribuir un script de Python que descarga un binario malicioso y lo ejecuta en el punto final de destino. El malware funcionó tanto en Windows como en Linux, se dijo.
En el momento de la publicación, se han eliminado todos los repositorios maliciosos de GitHub, pero aquí hay una lista por si acaso:
- github.com/AKuzmanHSCS/Microsoft-Exchange-RCE
- github.com/BAdithyaHSCS/Exchange-0-Day
- github.com/DLandonHSCS/Discord-RCE
- github.com/GSandersonHSCS/discord-0-day-fix
- github.com/MHadzicHSCS/Chrome-0-day
- github.com/RShahHSCS/Discord-0-Day-Exploit
- github.com/SsankkarHSCS/Chromium-0-Day
Estas cuentas de Twitter, por otro lado, aún no se han eliminado:
- twitter.com/AKuzmanHSCS
- twitter.com/DLandonHSCS
- twitter.com/GSandersonHSCS
- twitter.com/MHadzicHSCS
Teniendo en cuenta la cantidad de esfuerzo puesto en la campaña, el resultado final no tiene mucho sentido, insinúan los investigadores, porque el malware que se entregó fue «muy obvio», dijeron. «No está claro si han tenido éxito, pero dado que han continuado con esta vía de ataques, parece que creen que tendrán éxito».
Análisis: ¿Por qué importa?
Este es un ataque a la cadena de suministro muy elaborado, cuyas consecuencias podrían haber sido dolorosas. Podría decirse que GitHub es el repositorio de código fuente abierto más grande del mundo, y los productos que se encuentran allí son componentes básicos de software utilizados por innumerables organizaciones a medida que desarrollan sus soluciones y herramientas. Si un actor de amenazas logra comprometer un repositorio existente o logra colarse a través de un código malicioso, puede filtrarse a numerosos software, lo que teóricamente compromete miles de puntos finales. Dependiendo del tipo de malware distribuido de esta manera, los actores de amenazas podrían tener en sus manos datos confidenciales, podrían participar en ataques de robo de identidad y ransomware, así como fraude electrónico.
La popularidad de GitHub lo convirtió en uno de los principales objetivos de los ataques a la cadena de suministro. A menudo, los actores de amenazas participarán en «typosquatting», una forma de ataque cibernético en el que crearían un paquete malicioso con un nombre casi idéntico a uno existente. De esa manera, un desarrollador con exceso de trabajo o distraído podría usar el incorrecto y comprometer sus sistemas, así como los de sus clientes.
Los ataques a la cadena de suministro son comunes y muy destructivos. Uno de los mejores ejemplos del enorme potencial de los ataques a la cadena de suministro es el ataque de SolarWinds, que ocurrió a fines de 2020. En ese entonces, una actualización de uno de los productos de SolarWinds estaba contaminada con malware, que luego se envió a sus usuarios, algunos de que incluía empresas de alto perfil e instituciones gubernamentales.
Fijado en piratas informáticos rusos patrocinados por el estado, se descubrió que el ataque afectó a nueve agencias federales, además de muchas empresas del sector privado, el análisis posterior ha mostrado.
¿Qué han dicho otros al respecto?
En su redacción, computadora pitido dice que aún se desconoce qué hace realmente el malware que se distribuye. La publicación destaca la importancia de tener cuidado al descargar scripts, especialmente de repositorios desconocidos, ya que «siempre es posible la suplantación». Además, BleepingComputer recuerda a sus lectores sobre múltiples ataques de alto perfil a la cadena de suministro que ocurrieron en el pasado, como la campaña de enero de 2021 de los actores de amenazas patrocinados por el estado de Corea del Norte, Lazarus.
En aquel entonces, el grupo creó personajes falsos de investigadores de vulnerabilidades en las redes sociales para atacar a los investigadores con malware. Más tarde ese año, también intentaron distribuir una versión troyana del software de ingeniería inversa IDA Pro de esta manera.
OSC en línea, por otro lado, lo calificó como una campaña de ataque «inusual», que se dirige principalmente a los investigadores de seguridad. También dice que lo más probable es que sea el trabajo de un actor de amenazas persistentes avanzadas (APT) que busca obtener información confidencial que generalmente se encuentra en los puntos finales que pertenecen a los investigadores de seguridad cibernética. También agrega que los investigadores de seguridad experimentados «generalmente toman precauciones cuando trabajan con código potencialmente malicioso», lo que sugiere que atacar a los investigadores ofreciendo PoC falsos podría no ser la mejor de las ideas. “Si están probando un exploit de prueba de concepto, lo más probable es que suceda en un sistema de prueba dentro de una máquina virtual que está bien monitoreada y luego borrada”, concluyeron.
Vía: The Hacker News