GitHub

El desarrollador de GitHub Stephen Lucy, que informó del incidente el miércoles, destacó el ataque generalizado a al menos 35.000 repositorios. El desarrollador se encontró con el problema mientras revisaba un proyecto que encontró en una búsqueda en Google.

«Estoy descubriendo lo que parece ser un ataque masivo de malware en Github».

  • Actualmente más de 35,000 repositorios están infectados
  • Hasta ahora se ha encontrado en proyectos como: crypto, golang, python, js, bash, docker, k8s
  • Se añade a los scripts npm, imágenes docker y docs de instalación

El ataque está dirigido a las imágenes de Docker, a los documentos de instalación y al script NPM, que es una forma conveniente de agrupar comandos de shell comunes para un proyecto.

Para engañar a los desarrolladores y acceder a los datos críticos, el atacante primero crea un repositorio falso (un repositorio contiene todos los archivos del proyecto y el historial de revisiones de cada archivo) y crear clones del proyecto legítimo en GitHub. Por ejemplo, las siguientes dos URL muestran este proyecto legítimo de minero de criptomonedas y su clon.

https://github.com/scala-network/GUI-miner
https://github.com/stellitecoin/gui-miner (FAKE que ahora redirige al proyecto real)

Muchos de estos repositorios clonados fueron impulsados como «pull requests», que permiten a los desarrolladores comunicar a otros los cambios que han hecho en una rama determinada de un repositorio en GitHub.

Una vez que el desarrollador cae presa del engaño, toda la variable de entorno (ENV) del script, la aplicación o el ordenador portátil (Electron apps) se envía al servidor del atacante. El ENV incluye claves de seguridad, claves de acceso a Amazon Web Services, claves cripto y mucho más.

El desarrollador ha informado del problema a GitHub (que ya ha bloqueado los repos falsos) y ha aconsejado a los desarrolladores que firmen con GPG las revisiones que realicen en el repositorio. Las claves GPG añaden una capa extra de seguridad a las cuentas de GitHub y a los proyectos de software, ya que proporcionan una forma de verificar que todas las revisiones provienen de una fuente de confianza.

Fuente y redacción: segu-info.com.ar

Compartir