Se descubre malware acechando en los enlaces “oficiales” de GitHub y GitLab
Uno de los consejos más viejos de la informática, es que descargues software solamente de fuentes oficiales. Generalmente, las fuentes oficiales son las principales tiendas de aplicaciones de los entornos y plataformas. Sin embargo, para millones de aplicaciones de código abierto, útiles y gratuitas, la fuente oficial de mayor confianza, el repositorio del desarrollador en un sitio de especialistas, tal como GitHub o GitLab.
Desde este entorno, puedes encontrar código fuente del proyecto, las correcciones e incorporaciones al código. También, como pasa a menudo, puedes encontrar una compilación de una aplicación lista para usar. Cualquier usuario que tenga interés en computadoras, software y programación, va a conocer estas plataformas.
Ha llegado un incidente desafortunado, ya que se ha descubierto que, para muchas personas, incluidos los especialistas de ciberseguridad de TI y de los propios desarrolladores, que un archivo al cual se puede acceder mediante un enlace, puede ser publicado por otro usuario que no sea el desarrollador. Lo malo es que dicho enlace puede contener cualquier cosa. Los hackers maliciosos se dieron cuenta de esto e inmediatamente se aprovecharon, como era de esperarse.
Las brechas de seguridad se advierten cuando es demasiado tarde, en empresas y entornos que no tienen ciberseguridad óptima. Por ello, TIC Defense cuenta con un enfoque preventivo, con el objetivo de robustecer las defensas informáticas de tu organización, para mantener alejados a los atacantes de la red empresarial.
GitHub y GitLab se han construido con base en la colaboración en proyectos de desarrollo de software. Un desarrollador puede cargar su código y otros pueden hacer correcciones, pedir hacer incorporaciones e incluso, crear bifurcaciones.
Ahora bien, si un usuario ha encontrado un error en una aplicación, puede informarlo al desarrollador a través de un informe del problema. Si es necesario, los usuarios pueden adjuntar los archivos a los comentarios, como capturas de pantalla en donde muestran error o algún documento que hacen que falle la aplicación. Estos archivos se almacenan en servidores de GitHub mediante los enlaces que se están haciendo problemáticos.
No obstante, esta plataforma tiene una peculiaridad, y es que, si un usuario escribe un comentario cargando los archivos adjuntos, pero no hace clic en “Publicar”, esta información se queda atascada en el borrador, siendo invisible tanto para el propietario de la aplicación como para los demás usuarios de GitHub. Luego, se crea un enlace directo y completamente funcional al archivo cargado en el comentario y cualquiera que lo abra, va a recibir el archivo de la CDN de GitHub.
Ante esto, los propietarios del repositorio en donde está publicado el archivo en los comentarios, no pueden eliminarlo o bloquearlo, debido a que ni siquiera se enteran de su existencia. Del mismo modo, no existe una configuración que se encargue de restringir la carga de los archivos para el repositorio en su totalidad.
La única solución es desactivar los comentarios por completo, pero esto va a privar a los desarrolladores de recibir comentarios y se pueden desactivar los comentarios por seis meses. Gracias a esta capacidad de publicar archivos en enlaces que comienzan con GitHub / GitLab y que contienen los nombres de desarrolladores famosos, respetados y de proyectos populares, los hackers maliciosos han tenido la oportunidad de lanzar ataques de phishing muy convincentes.
Hasta ahora, en los repositorios de Microsoft, se han descubierto campañas maliciosas, en las que dejan comentarios que, supuestamente, contienen aplicaciones de trucos para videojuegos. Las campañas de phishing son exitosas en estas plataformas, debido a que los usuarios cuando ven el enlace y leen las palabras GitHub o Microsoft, se sienten tranquilos y confiados.
