GitHub, la plataforma indispensable para programadores a nivel mundial, se encuentra actualmente bajo un sofisticado ataque automatizado. Este ataque involucra la clonación y creación de una enorme cantidad de repositorios de código malicioso, lo cual, debido a una combinación de metodología avanzada y ingeniería social, se ha convertido en un desafío significativo para detener.
Un atacante desconocido ha implementado un proceso automatizado que bifurca y clona repositorios existentes, inyectando código malicioso oculto bajo siete capas de ofuscación. Esta técnica hace que los repositorios fraudulentos sean difíciles de diferenciar de sus contrapartes legítimas, llevando a algunos usuarios, sin saberlo, a bifurcar los repos afectados, aumentando inadvertidamente la magnitud del ataque.
Una vez que un desarrollador utiliza un repositorio afectado, un payload oculto comienza a desempaquetar las siete capas de ofuscación, que incluyen código Python malicioso y un ejecutable binario. El código procede a recopilar datos confidenciales y detalles de inicio de sesión, para luego subirlos a un servidor de control.
Equipos de investigación y seguridad de la empresa Apiiro han estado monitoreando un resurgimiento del ataque desde sus inicios relativamente menores en mayo del año pasado. A pesar de que GitHub ha estado eliminando activamente los repositorios afectados, su sistema de detección automatizada todavía deja pasar muchos, y las versiones subidas manualmente también logran evadir la detección. Dada la escala actual del ataque, que se estima en millones de repositorios subidos o bifurcados, incluso una tasa de falla del 1% significa que potencialmente miles de repos comprometidos permanecen en el sitio.
Inicialmente, el ataque fue de escala menor, con varios paquetes detectados en el sitio conteniendo versiones tempranas del código malicioso. Sin embargo, ha evolucionado gradualmente en tamaño y sofisticación. Los investigadores han identificado varias razones potenciales para el éxito de la operación hasta ahora, incluyendo el vasto tamaño de la base de usuarios de GitHub y la complejidad creciente de la técnica.
Lo que hace que este ataque sea particularmente intrigante es la combinación de métodos de ataque automatizados sofisticados y la simple naturaleza humana. Mientras que las técnicas de ofuscación se han vuelto cada vez más complejas, los atacantes han confiado en gran medida en la ingeniería social para confundir a los desarrolladores, haciéndolos elegir el código malicioso sobre el real y difundiéndolo sin saberlo, lo que complica aún más su detección.
GitHub, aunque aún no ha comentado directamente sobre el ataque, emitió un comunicado general reafirmando su compromiso con la seguridad de sus usuarios, mencionando que «Contamos con equipos dedicados a detectar, analizar y eliminar contenidos y cuentas que violen nuestras Políticas de Uso Aceptable. Empleamos revisiones manuales y detecciones a gran escala que utilizan aprendizaje automático y evolucionan constantemente para adaptarse a ataques adversarios».
Este ataque subraya los riesgos asociados con la popularidad de GitHub. A pesar de ser un recurso vital para los desarrolladores en todo el mundo, su naturaleza de código abierto y su enorme base de usuarios parecen haberlo dejado vulnerable. Resolver este problema completamente parece ser una batalla cuesta arriba que GitHub aún tiene que superar.
vía: ARSTechnica y Apiiro
