Los desarrolladores se enfrentan a una importante amenaza a la seguridad, ya que más de 100.000 repositorios en GitHub están infectados con código malicioso.
Este resurgimiento de una campaña de confusión de repositorios maliciosos – detectado por los investigadores de seguridad de Apiiro, ha impactado a innumerables desarrolladores que, sin saberlo, utilizan repositorios que creen que son confiables pero que, de hecho, están comprometidos.
Al igual que los ataques de confusión de dependencias, que explotan a los administradores de paquetes, los ataques de confusión de repositorios se basan en errores humanos, engañando a los desarrolladores para que descarguen versiones maliciosas en lugar de versiones legítimas.
Los actores maliciosos clonan repositorios existentes, los infectan con cargadores de malware, los cargan con nombres idénticos en GitHub y luego los bifurcan automáticamente miles de veces, difundiéndolos por la web a través de foros y otros canales.
Una vez que los desarrolladores utilizan estos repositorios infectados, la carga útil oculta descomprime capas de ofuscación, ejecutando código Python malicioso y ejecutables binarios. Este código modificado (a menudo una versión de BlackCap-Grabber) recopila datos confidenciales, como credenciales de inicio de sesión e información del navegador, y los envía al servidor de comando y control de los atacantes.
Si bien GitHub elimina rápidamente la mayoría de los repositorios bifurcados, la detección automática pasa por alto muchos, lo que permite que miles persistan.
El proceso de eliminación, que tiene como objetivo las bombas bifurcadas, se produce pocas horas después de la carga, lo que dificulta documentar el alcance del ataque. El gran volumen de repositorios involucrados en esta campaña, combinado con su automatización, plantea un desafío importante para los esfuerzos de detección y mitigación.
Esta campaña maliciosa comenzó en mayo de 2023 con la difusión de paquetes maliciosos en PyPI y destaca una tendencia más amplia de malware dirigido a las cadenas de suministro de software. A medida que aumenta la atención sobre los administradores de paquetes, los atacantes están cambiando su enfoque hacia administradores de control de fuentes como GitHub.
(Foto por Roman Synkevich en desempaquetar)
Ver también: Paquetes de Python detectados mediante descarga de DLL para eludir la seguridad
¿Quiere obtener más información sobre la ciberseguridad y la nube de la mano de los líderes de la industria? Verificar Exposición de seguridad cibernética y nube que tendrá lugar en Amsterdam, California y Londres. El evento integral comparte ubicación con otros eventos importantes, incluidos bloquex, Semana de la Transformación Digital, Exposición de tecnología de IoT y Exposición de IA y Big Data.
Además, la próxima Conferencia sobre transformación de la nube es un evento virtual gratuito para que los líderes empresariales y tecnológicos exploren el panorama cambiante de la transformación de la nube. Reserva tu billete virtual gratis para explorar los aspectos prácticos y las oportunidades que rodean la adopción de la nube.
Explore otros próximos eventos y seminarios web de tecnología empresarial impulsados por TechForge aquí.