Advertencia: falsos repositorios de GitHub que entregan malware como PoC

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los ataques a la cadena de suministro pueden ser muy destructivos si el objetivo es de un perfil tan alto y se usa ampliamente como GitHub. Los investigadores de ciberseguridad de VulnCheck han descubierto un ataque a la cadena de suministro dirigido a GitHub y Twitter.

Según su informe, varias cuentas en GitHub y Twitter afirman distribuir exploits PoC (prueba de concepto) para exploits de día cero en software populares. Sin embargo, estas son cuentas falsas y los PoC entregan malware.

Descubrimiento de la Campaña

VulnCheck descubrió esta campaña en mayo de 2023 cuando verificó un código de alojamiento del repositorio de GitHub que, según el autor, era un día cero para la aplicación Signal. Al día siguiente, descubrieron otra cuenta que ofrecía un día cero de WhatsApp.

Los investigadores siguieron encontrando cuentas falsas a lo largo de mayo de 2023, y todas ofrecían exploits de día cero para aplicaciones como Google Chrome, Signal, Microsoft Exchange Server y Discord. Más tarde, en mayo, los investigadores encontraron cuentas similares en Twitter.

Se descubrieron alrededor de media docena de cuentas falsas en GitHub y varias en Twitter. Todos ellos utilizaron fotografías de reconocidos investigadores de seguridad y alojaron exploits de día cero.

Cuidado con las cuentas falsas en GitHub, Twitter

Según VulnCheck, actores de amenazas no identificados han creado una red de cuentas falsas en GitHub y Twitter que parecen estar asociadas con investigadores de ciberseguridad. Para generar credibilidad para estas cuentas, los actores de amenazas han utilizado imágenes de perfil de investigadores de seguridad reales.

Los investigadores han notado que estos repositorios falsos se promocionan como parte de una empresa inexistente llamada High Sierra Cyber Security. Cada cuenta presenta una foto de rostro, un identificador de Twitter, una organización asociada, seguidores, un enlace al sitio web de la empresa y un repositorio malicioso oculto.

Greg y otros 6 perfiles falsos en GitHub (izquierda) – Cuenta falsa en Twitter (derecha) – VulnCheck
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Objetivos maliciosos detrás de cuentas falsas

Estas cuentas falsas distribuyen un script de Python a través del cual se descarga y ejecuta un binario malicioso en el dispositivo. Vale la pena señalar que el malware puede funcionar tanto en sistemas basados en Windows como en Linux. Las cuentas de GitHub han sido suspendidas, pero las cuentas de Twitter permanecen en línea.

¿Cuáles son los peligros?

Los investigadores creen que este ataque a la cadena de suministro es muy elaborado y puede tener graves consecuencias. El ataque de SolarWinds es uno de los ataques a la cadena de suministro más devastadores, que afecta a muchas agencias del sector público y privado y causa grandes daños. Un software infectado con malware fue el responsable de este ataque.

Teniendo en cuenta que GitHub es el repositorio de código fuente abierto más grande del mundo, las consecuencias de este ataque a la cadena de suministro en particular podrían ser aún más drásticas. Inyectar código malicioso en un repositorio o comprometerlo puede afectar a varios softwares utilizados por innumerables puntos finales. Los atacantes pueden implementar malware para robar datos confidenciales, realizar robos de identidad o lanzar ataques de ransomware y fraudes electrónicos.

Los investigadores no tienen claro si se trata de un experimento o de una campaña. Sin embargo, es esencial tener cuidado al acceder a fuentes no confiables para ejecutar código. Consulta la lista completa de cuentas falsas aquí.

Fuente:
HackRead
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos Underc0de. Esto no pasaria si el portal de github tuviera la fortaleza que tanto cree las personas con el articulo sobre microsoft comprar la firma a linus torvalds para luego enviarla a una boveda en el artico sin CITE: Seguridad como para entregar software basura o PoC malware a desarrolladores experimentados y no solo de esta forma en la red hay repositorios de otros desarrolladores mas expertos con copias de la fuente de facebook (Que llo mismo instalaba ademas de wordpress y otros sitios como plataformas deformes. Yo no pretendo de que mi cuenta de github me certifique como windows partner o linux developer pero existiendo copias exactas o clonadas de sus plataformas yo no tengo un sentido comercial o empresarial del software que desarrollo ya que insumo que estos portales sobreviven o existen por las licensiaturas de caracter abierto para desarrolladores independientes con o sin interes en la venta de sus plataformas.

Att: Fl356w06m