Alerta de seguridad: repositorios falsos en GitHub y la amenaza del BoryptGrab



En el ecosistema de desarrollo moderno, la confianza puede convertirse en un riesgo cuando repositorios maliciosos se hacen pasar por software legítimo. Recientemente, investigaciones de ArcticWolf revelaron una campaña en la que se crearon 292 repositorios falsos en GitHub que imitaban herramientas y productos conocidos, con el objetivo de distribuir una variante del infostealer BoryptGrab. Este descubrimiento subraya la necesidad de una verificación rigurosa del código y de las fuentes antes de incorporar cualquier componente en proyectos reales.

Resumen de la amenaza:
– Los repositorios falsos simulaban software de seguridad, herramientas para desarrolladores, utilidades para macOS, juegos y otros, cada uno con un README que contenía la URL de descarga.
– La variante de BoryptGrab robaba datos de 19 navegadores (incluyendo contraseñas y cookies), 32 billeteras de criptomonedas, y datos de aplicaciones como Telegram, Discord, Steam, así como credenciales de Windows Credential Manager. También podía exfiltrar archivos del Escritorio y Documentos y tomar capturas de pantalla.
– Una característica destacada de esta variante es su capacidad para eludir la encriptación vinculada a Chrome mediante una inyección de código directa en el proceso del navegador. Esto la distingue de otras variantes de BoryptGrab.
– Aunque no se ha confirmado de forma explícita que los actores sean rusos, se sabe que la información comprimida se envía a una infraestructura de comando y control (C2) ubicada en Rusia.
– El ataque parece haber comenzado a finales de junio. Actualmente, la mayoría de los repositorios maliciosos han sido eliminados de GitHub, aunque algunas decenas siguen activas, según informes de BleepingComputer citando a investigadores.

Implicaciones para la comunidad:
– GitHub, al ser una plataforma extremadamente popular en la comunidad de código abierto, se convierte en un objetivo primario para actores maliciosos. Esto refuerza la necesidad de una diligencia debida rigurosa al incorporar código de terceros.
– La posibilidad de que un usuario descargue e ejecute software aparentemente legítimo puede dar lugar a compromisos de seguridad en diversos entornos, desde proyectos personales hasta iniciativas empresariales.

Buenas prácticas recomendadas:
– Verificar la procedencia de cualquier repositorio o paquete antes de usarlo. Revisar la fuente, el historial de commits, las discusiones, y las reseñas de otros usuarios.
– Evitar la descarga de ejecutables o instaladores de repositorios que no provengan de fuentes oficiales o conocidas.
– Emplear herramientas de seguridad yescaneo estático para evaluar código y dependencias, así como soluciones de detección de malware para entornos de desarrollo.
– Configurar controles de acceso y revisión por pares para cualquier cambio que se integre en proyectos críticos.
– Mantener actualizadas las credenciales, contraseñas y sistemas de almacenamiento de claves, y habilitar alertas de anomalías en el uso de credenciales y tokens.

Conclusión:
La campaña estudiada evidencia que GitHub continúa siendo un blanco atractivo para la distribución de malware cuando se ofrece software aparentemente confiable. Aunque la mayor parte de la infraestructura maliciosa ya fue retirada, la persistencia de algunos repositorios activos refuerza la necesidad de un enfoque proactivo de seguridad: verificar, auditar y monitorizar cada componente de código que se integrate en proyectos para reducir el riesgo de infiltración y robo de información sensible.

from Latest from TechRadar https://ift.tt/fJR9NLo
via IFTTT IA