Palma de la cara: GitHub sirve como un centro colosal para el desarrollo de software y alberga casi 500 millones de proyectos de código creados por cientos de millones de desarrolladores en todo el mundo. Dado su amplio alcance y el gran volumen de actividad, la plataforma presenta una oportunidad para los ciberdelincuentes, quienes en este caso han explotado la vasta red para orquestar una campaña maliciosa basada en Python.
Los investigadores de seguridad de Apiiro descubrieron recientemente una campaña de propagación de malware diseñada para explotar las capacidades de la plataforma GitHub. El ataque, que comenzó en mayo de 2023 con «varios» paquetes maliciosos subidos al Índice de paquetes de Python (PyPI), fue capaz de impactar al menos 100.000 repositorios de GitHub y «presumiblemente» millones más.
La campaña de malware es una demostración de cómo los actores maliciosos pueden explotar fácilmente la capacidad de GitHub para bifurcar repositorios de código de manera automática y eficiente, Apiiro. dicho. Los ciberdelincuentes desconocidos clonaron repositorios existentes, infectándolos con cargadores de malware antes de cargar el código comprometido en GitHub con nombres idénticos.
GitHub proporciona API y herramientas fáciles de usar para desarrolladores que se pueden utilizar para generar cuentas y repositorios automáticamente, y los delincuentes aprovecharon la función para bifurcar los paquetes maliciosos cargados miles de veces. Cuando un desarrollador desprevenido utiliza un repositorio comprometido, explicaron los investigadores de Apiiro, ayuda a difundir el código malicioso, que es principalmente una versión modificada de BlackCap-Grabber.
El malware emplea siete capas de ofuscación para intentar ocultar sus cargas útiles, que están diseñadas para recopilar credenciales de inicio de sesión, contraseñas y cookies del navegador, y otros datos confidenciales. Una vez completada, la recopilación se envía a un servidor de comando y control (C&C) administrado por los ciberdelincuentes mientras realizan una «larga serie» de actividades maliciosas adicionales.
GitHub confirmado que es consciente de la existencia de la campaña y que luchar contra este tipo de actividad es más fácil de decir que de hacer. La plataforma alberga a más de 100 millones de desarrolladores en más de 420 millones de repositorios, y hay equipos dedicados que trabajan para detectar, analizar y eliminar contenido y cuentas que violan las Políticas de uso aceptable de la plataforma.
Se emplean procedimientos de revisión manuales y basados en aprendizaje automático para detectar y luchar contra «tácticas adversas», dijo GitHub, pero la empresa aparentemente es víctima de su propio éxito. El ataque recientemente descubierto parece estar mayoritariamente automatizado a gran escala, y GitHub está diseñado para promover la automatización y la reutilización de código. Incluso si sobrevive el 1 por ciento de los repositorios comprometidos, explicó Apiiro, hay miles de repositorios de códigos maliciosos pero de apariencia legítima todavía acechando en GitHub.