Lo que necesitas saber
- Apiiro, una firma de ciberseguridad, informó que GitHub ha sufrido un ataque masivo que podría impactar a miles de personas.
- Este ataque implica clonar repositorios limpios y seguros, agregar código malicioso y ofuscado y volver a cargarlos.
- GitHub está intentando eliminar los repositorios maliciosos pero parece que no puede rastrearlos a todos.
En una reciente informe de Apiiror, los equipos de investigación de seguridad y ciencia de datos descubrieron un ataque muy grande. Apiiro lo llama una campaña de confusión de repositorios maliciosos. Los equipos de Apiiro estiman que más de 100.000 repositorios de GitHub están afectados, posiblemente incluso millones. Desafortunadamente, esta no es la primera vez que tenemos que informar sobre el uso de GitHub por parte de actores maliciosos. Hace unos meses, nosotros discutido cómo se utiliza GitHub para facilitar el ransomware e incluso crear canales de comando y control para ataques de ransomware.
Estos ataques no son demasiado complicados ni difíciles de detener, el problema es que los ataques ocurren a un ritmo tan alarmante que GitHub parece tener problemas para seguir el ritmo.
¿Qué son los ataques de confusión al repositorio?
La facilidad de generación automática de cuentas y repositorios en GitHub y similares, utilizando API cómodas y límites de velocidad flexibles que son fáciles de eludir, combinados con la gran cantidad de repositorios entre los que esconderse, lo convierten en un objetivo perfecto para infectar de forma encubierta la cadena de suministro de software. .
Apiiro
Un repositorio de GitHub es un lugar donde un usuario de GitHub puede cargar su código para poder compartirlo con el resto del mundo. Hay repositorios muy populares que muchas personas suelen buscar y descargar. En un ataque de abrevadero, los atacantes descargan buenos repositorios populares y agregan código malicioso «.7 capas» «eep«según Api»ro, y los vuelve a subir a GitHub con el mismo nombre. Luego difunden la versión falsa del repositorio a través de las redes sociales, Discord y otros medios a una audiencia específica. Estas características indican un riego Ataque de agujero que es muy común en CyberSecurity.
A ataque al abrevadero Implica que los ciberatacantes se dirijan a grupos de usuarios infectando sitios web que visitan con frecuencia. Los atacantes esperan pacientemente a que los usuarios naveguen a estos sitios web comprometidos y luego los redirigen a un sitio malicioso para infectar sus computadoras y otorgarles acceso a la red de la organización.
Una vez que estos atacantes vuelven a cargar sus repositorios maliciosos, utilizan la automatización para bifurcarlos miles de veces. Esta táctica se usa con bastante frecuencia. Hace unos años, recordé un álbum de música de moda de un artista reconocido y mucha gente intentó descargarlo a través de Torrent. Sin embargo, el archivo que circulaba era malicioso y provocó que muchas personas perdieran sus datos.
¿Cómo infectan tu PC los repositorios maliciosos de GitHub?
Imagen 1 de 3
Apiiro y otras empresas de ciberseguridad llaman a esto un ataque a la cadena de suministro, y si bien eso podría ser técnicamente cierto, creo que GitHub apenas califica como una cadena de suministro.
Un ataque a la cadena de suministro es un ciberataque dirigido a un proveedor o proveedor externo de confianza. «Implica inyectar código malicioso en software o comprometer componentes de hardware para obtener acceso no autorizado a la red o a los datos de una empresa». por Multitud.
Por lo general, una cadena de suministro tendría que provenir de un proveedor externo con acceso a su infraestructura y no de un sitio web que aloje código que podría usarse en el entorno de una empresa.
Estos ataques ofuscan el código y Python se utiliza principalmente para llevar a cabo los ataques. Una vez que se ha producido la entrega de la carga útil y se ha explotado la vulnerabilidad, el código utiliza Agarrador de gorra negra para realizar acciones en el objetivo y enviar la información robada a un servidor de comando y control. Si descarga un repositorio de GitHub malicioso, estas cosas podrían robarse o hacerse en su PC.
- Contraseñas del navegador, cookies e historial de navegación
- Información del sistema
- Credenciales de inicio de sesión de aplicaciones y herramientas como Steam, MetaMask y Exodus
- También intentará eludir TokenProtector.
- Secuestro del portapapeles de Windows para alterar direcciones de criptomonedas, reemplazando su contenido con la dirección de billetera del atacante (entre otras funcionalidades)
¿Qué puede hacer Microsoft para que GitHub sea seguro?
Según el informe, «Se notificó a GitHub y la mayoría de los repositorios maliciosos fueron eliminados, pero la campaña continúa y los ataques que intentan inyectar código malicioso en la cadena de suministro son cada vez más frecuentes».
Este ataque comenzó en mayo de 2023 pero ha crecido exponencialmente. Este ataque parece ser una situación de golpe a un topo en la que GitHub tendrá que intentar detectar este código después de que se cargue y posiblemente cuando sea demasiado tarde. A medida que estos ataques continúen, cada vez más usuarios podrían verse infectados.
Probablemente no puedas confiar en Microsoft y GitHub para mantenerte seguro si eres un gran usuario de GitHub. Supongamos que desea comprobar si su PC está infectada. Apiiro proporcionó un Gráfico VirusTotal con algunos de los archivos maliciosos descubiertos. Si desea comprobar si hay estos archivos en su PC, esto llevaría mucho tiempo.
Busque patrones de Python en su entorno de PC que coincidan con estas cadenas de código:
- ejecutivo(Fernet
- ejecutivo (solicitudes
- ejecutivo(_ _importar
- ejecutivo (bytes
- ejecutivo(“””nimportar
- ejecutivo (compilar
- _ _importar_ _(“integraciones incorporadas”).exec(
La mejor práctica es ejecutar código en un entorno limitado para proteger su PC principal. Busque cualquier código que se comunique con plataformas de redes sociales o billeteras criptográficas. Tenga cuidado al descargar cualquier código de GitHub hasta que Microsoft pueda solucionar este problema.
GitHub no es el único problema de ciberseguridad al que se enfrenta Microsoft.
En la era de la integración generalizada de la IA, Microsoft tiene una excelente oportunidad para priorizar las medidas de seguridad internas antes de expandirse hacia el exterior. A pesar de los avances en IA, sigue siendo evidente que los analistas e ingenieros humanos son indispensables en la defensa de primera línea contra las amenazas cibernéticas. A medida que evoluciona el panorama de la ciberseguridad, las personas interesadas en ingresar a este campo pueden encontrar orientación valiosa, como nuestra cguía de inicio de ciberseguridad.
Microsoft ha lanzado recientemente Copiloto de seguridad, una herramienta destinada a mejorar el desempeño de los defensores de la ciberseguridad. Sin embargo, su eficacia depende en gran medida de la participación del cliente, lo que refleja el enfoque de no intervención de Microsoft, una característica a menudo asociada con la empresa, conocida por su mínima inversión en servicio al cliente. Este espíritu parece extenderse a la ciberseguridad, donde los esfuerzos de Microsoft parecen en su mayoría reactivos a pesar del mantenimiento y las actualizaciones regulares, como el Patch Tuesday.
GitHub, una subsidiaria de Microsoft, ha sido explotada eficazmente por piratas informáticos, lo que plantea dudas sobre la capacidad de la empresa para aprovechar la IA con fines defensivos. Sin embargo, si Microsoft puede fortalecer sus sistemas, incluidos su sistema operativo, servidores y subsidiarias como GitHub, puede reducir significativamente los incidentes de violaciones globales, beneficiando a todas las partes interesadas.