imágenes falsas
GitHub está luchando por contener un ataque continuo que está inundando el sitio con millones de repositorios de código. Estos repositorios contienen malware ofuscado que roba contraseñas y criptomonedas de los dispositivos de los desarrolladores, dijeron los investigadores.
Los repositorios maliciosos son clones de los legítimos, lo que hace que sea difícil distinguirlos para el ojo casual. Un desconocido ha automatizado un proceso que bifurca repositorios legítimos, lo que significa que el código fuente se copia para que los desarrolladores puedan usarlo en un proyecto independiente que se base en el original. El resultado son millones de bifurcaciones con nombres idénticos al original que agregan una carga útil envuelta bajo siete capas de ofuscación. Para empeorar las cosas, algunas personas, sin darse cuenta de la malicia de estos imitadores, están bifurcando los tenedores, lo que aumenta la inundación.
Aplasta un topo
“GitHub elimina rápidamente la mayoría de los repositorios bifurcados, lo que identifica la automatización”, Matan Giladi y Gil David, investigadores de la firma de seguridad Apiiro, escribió el miércoles. “Sin embargo, la detección automática parece pasar por alto muchos repositorios y los que se cargaron manualmente sobreviven. Debido a que toda la cadena de ataques parece estar automatizada en su mayor parte a gran escala, el 1% que sobrevive todavía representa miles de repositorios maliciosos”.
Dada la constante rotación de nuevos repositorios que se cargan y la eliminación de GitHub, es difícil estimar con precisión cuántos de cada uno hay. Los investigadores dijeron que la cantidad de repositorios cargados o bifurcados antes de que GitHub los elimine probablemente sea de millones. Dijeron que el ataque “afecta a más de 100.000 repositorios de GitHub”.
Los funcionarios de GitHub no cuestionaron las estimaciones de Apiiro y no respondieron otras preguntas enviadas por correo electrónico. En cambio, emitieron la siguiente declaración:
GitHub alberga a más de 100 millones de desarrolladores que trabajan en más de 420 millones de repositorios y se compromete a proporcionar una plataforma segura para los desarrolladores. Contamos con equipos dedicados a detectar, analizar y eliminar contenido y cuentas que violen nuestras Políticas de uso aceptable. Empleamos revisiones manuales y detecciones a escala que utilizan el aprendizaje automático y evolucionan y se adaptan constantemente a tácticas adversas. También animamos a los clientes y miembros de la comunidad a denunciar abusos y spam.
Los ataques a la cadena de suministro dirigidos a usuarios de plataformas de desarrollo existen desde al menos 2016, cuando un estudiante universitario subió scripts personalizados a RubyGems, PyPi y NPM. Los scripts tenían nombres similares a los de paquetes legítimos ampliamente utilizados, pero por lo demás no tenían conexión con ellos. Una función de teléfono a casa en los guiones de los estudiantes mostró que el código impostor se ejecutó más de 45.000 veces en más de 17.000 dominios separados, y más de la mitad de las veces su código recibió derechos administrativos todopoderosos. Dos de los dominios afectados terminaban en .mil, una indicación de que personas dentro del ejército estadounidense habían ejecutado su script. Esta forma de ataque a la cadena de suministro a menudo se conoce como typosquatting, porque depende de que los usuarios cometan pequeños errores al elegir el nombre de un paquete que quieren usar.
En 2021, un investigador utilizó una técnica similar para ejecutar con éxito códigos falsificados en redes de Apple, Microsoft, Tesla y decenas de otras empresas. La técnica, conocida como ataque de confusión de dependencias o confusión de espacios de nombres, comenzó colocando paquetes de códigos maliciosos en un repositorio público oficial y dándoles el mismo nombre que los paquetes de dependencias que Apple y otras empresas objetivo utilizan en sus productos. Los scripts automatizados dentro de los administradores de paquetes utilizados por las empresas descargaron e instalaron automáticamente el código de dependencia falsificado.
La técnica observada por Apiiro se conoce como confusión de repositorios.
“De manera similar a los ataques de confusión de dependencia, los actores maliciosos logran que su objetivo descargue su versión maliciosa en lugar de la real”, explica la publicación del miércoles. “Pero los ataques de confusión de dependencia aprovechan la forma en que funcionan los administradores de paquetes, mientras que los ataques de confusión de repositorios simplemente dependen de que los humanos elijan por error la versión maliciosa en lugar de la real, a veces empleando también técnicas de ingeniería social”.