Los piratas informáticos crean enlaces legítimos de phishing con comentarios fantasma de GitHub y GitLab

Los piratas informáticos están utilizando comentarios no publicados de GitHub y GitLab para generar enlaces de phishing que parecen provenir de proyectos legítimos de software de código abierto (OSS).

El ingenioso truco, descrito por primera vez por Sergei Frankoff de Open Analysis el mes pasado, permite a cualquiera hacerse pasar por cualquier repositorio que deseen sin que los propietarios de ese repositorio lo sepan. E incluso si los propietarios lo saben, no pueden hacer nada para detenerlo.

Caso en cuestión: los piratas informáticos tienen ya abusé de este método para distribuir el troyano Redline Stealer, utilizando enlaces asociados con los repositorios “vcpkg” y “STL” alojados en GitHub de Microsoft, según McAfee. Frankoff descubrió de forma independiente más casos relacionados con el mismo cargador utilizado en esa campaña, y Bleeping Computer encontró un repositorio adicional afectado, "httprouter".

Según Bleeping Computer, el problema afecta tanto a GitHub, una plataforma con más de 100 millones de usuarios registrados, como a su competidor más cercano, GitLab, con más de 30 millones de usuarios.

Enlaces de phishing indetectables, imparables y creíbles

Este notable defecto en GitHub y GitLab radica posiblemente en la característica más mundana imaginable.

Los desarrolladores suelen dejar sugerencias o informar errores dejando comentarios en la página de un proyecto OSS. A veces, dicho comentario involucrará un archivo: un documento, una captura de pantalla u otro medio.

Cuando se va a cargar un archivo como parte de un comentario en las redes de entrega de contenido (CDN) de GitHub y GitLab, al comentario se le asigna automáticamente una URL. Esta URL está visiblemente asociada con cualquier proyecto al que pertenezca el comentario. En GitLab, por ejemplo, un archivo cargado con un comentario obtiene una URL en el siguiente formato: https://gitlab.com/{project_group_name}/{repo_name}/uploads/{file_id}/{file_name}.

Lo que los hackers han descubierto es que esto proporciona una cobertura perfecta para su malware. Pueden, por ejemplo, cargar un cargador de malware para RedLine Stealer en un repositorio de Microsoft y obtener un enlace a cambio. Aunque contiene malware, a cualquier observador le parecerá un enlace legítimo a un archivo de repositorio real de Microsoft.

Pero eso no es todo.

Si un atacante publica malware en un repositorio, se podría suponer que el propietario de ese repositorio o GitHub lo detectaría y lo solucionaría.

Lo que pueden hacer entonces es publicar y luego eliminar rápidamente el comentario. La URL continúa funcionando y, no obstante, el archivo permanece cargado en la CDN del sitio.

O, mejor aún: para empezar, el atacante simplemente no puede publicar el comentario. Tanto en GitHub como en GitLab, se genera automáticamente un enlace de trabajo tan pronto como se agrega un archivo a un comentario en progreso.

Gracias a esta peculiaridad banal, un atacante puede cargar malware en cualquier repositorio de GitHub que desee, obtener un enlace asociado con ese repositorio y simplemente dejar el comentario sin publicar. Pueden usarlo en ataques de phishing durante el tiempo que quieran, mientras que la marca suplantada no tendrá idea de que se generó dicho vínculo en primer lugar.

No confíes en los enlaces

Las URL maliciosas vinculadas a repositorios legítimos dan credibilidad a los ataques de phishing y, a la inversa, amenazan con avergonzar y socavar la credibilidad de la parte suplantada.

Lo que es peor: no tienen ningún recurso. Según Bleeping Computer, no existe ninguna configuración que permita a los propietarios administrar archivos adjuntos a sus proyectos. Pueden desactivar temporalmente los comentarios, evitando al mismo tiempo la notificación de errores y la colaboración con la comunidad, pero no existe una solución permanente.

Dark Reading se acercó a GitHub y GitLab para preguntarles si planean solucionar este problema y cómo. Así es como uno respondió:

“GitHub se compromete a investigar los problemas de seguridad reportados. Inhabilitamos cuentas de usuario y contenido de acuerdo con Políticas de uso aceptable de GitHub, que prohíben publicar contenido que respalde directamente ataques activos ilegales o campañas de malware que estén causando daños técnicos”, dijo un representante de GitHub en un correo electrónico. “Seguimos invirtiendo en mejorar la seguridad de GitHub y nuestros usuarios, y estamos buscando medidas para protegernos mejor contra esta actividad. Recomendamos a los usuarios seguir las instrucciones proporcionadas por los mantenedores sobre cómo descargar el software lanzado oficialmente. Los mantenedores pueden utilizar Lanzamientos de GitHub o liberar procesos dentro de registros de paquetes y software para distribuir software de forma segura a sus usuarios”.

Dark Reading actualizará la historia si GitLab responde. Mientras tanto, los usuarios deben actuar con cuidado.

"Los desarrolladores que ven el nombre de un proveedor confiable en una URL de GitHub a menudo confiarán en que aquello en lo que hacen clic es seguro y legítimo", dice Jason Soroko, vicepresidente senior de producto de Sectigo. “Ha habido muchos comentarios sobre cómo los usuarios no entienden los elementos de la URL o no tienen mucho que ver con la confianza. Sin embargo, este es un ejemplo perfecto de que las URL son importantes y tienen la capacidad de generar confianza errónea.

"Los desarrolladores deben repensar su relación con los enlaces asociados con GitHub, o cualquier otro repositorio, e invertir algo de tiempo escudriñando, tal como lo harían con un archivo adjunto de correo electrónico".

Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
Fuente: https://www.darkreading.com/threat-intelligence/hackers-create-legit-phishing-links-with-ghost-github-gitlab-comments

Inteligencia de datos generativa

Los piratas informáticos crean enlaces legítimos de phishing con comentarios de Ghost GitHub y GitLab

Enlaces de phishing indetectables, imparables y creíbles

No confíes en los enlaces

El fondo BUIDL de Blackrock supera a Franklin Templeton y se convierte en la mayor oferta tokenizada de RWA

Option2Trade y optimismo: las tres formas principales en las que se utiliza la escalabilidad de Ethereum para aumentar el ecosistema

Información más reciente

Between Realities VR Podcast con Maeva Sponbergs de Beyond Frames

El auge de la minería móvil: la versión beta de la aplicación X1 de BlockDAG cambia el juego y desafía el mercado de Bitcoin y Solana

Trading 101 revelado: tutoriales completos sobre Forex y… – CryptoInfoNet

Epic Satoshi impulsa el lanzamiento de nuevos tokens de runas con una capitalización de mercado de 88 millones de dólares

El director ejecutivo de Coinbase, Brian Armstrong, dice que las soluciones de capa 2 impulsarán muchos casos de uso en la criptoeconomía – The Daily Hodl

JPMorgan Chase paga una multa de 448,000,000 de dólares a los reguladores estadounidenses por no monitorear miles de millones de transacciones en las sedes comerciales globales del banco – The Daily Hodl

Habla con nosotros!