Los repositorios publicados en sitios para compartir códigos son una mina para los ciberdelincuentes que utilizan la técnica de piratería conocida como repo jacking. Millones de repositorios de GitHub son potencialmente vulnerables, lo que abre el camino para que los atacantes ejecuten código en los entornos internos de las empresas o de sus clientes. Esta es la observación del editor AquaSec. después de analizar Una muestra de 1,25 millones de repositorios de GitHub y descubrió que alrededor del 3% de ellos eran vulnerables, incluidos los repositorios propiedad de empresas como Google y Lyft.
En GitHub, las empresas tienen nombres de usuario y repositorios. Si hay un cambio de dirección o de marca, la empresa podrá cambiar estos nombres. Esto crea una redirección para evitar romper las dependencias necesarias para ciertos proyectos. Sin embargo, si alguien guarda el nombre anterior, esta redirección deja de ser válida. Luego, un ciberdelincuente puede adquirir el antiguo nombre del repositorio para crear dependencias maliciosas, lo que se denomina repo jacking. GitHub tiene algunas restricciones para evitar que el atacante abra el nombre del repositorio anterior. "Sin embargo, sólo se aplican a repositorios populares que eran populares antes del cambio de nombre, y los investigadores han encontrado recientemente muchas formas de eludir estas restricciones, dando a los atacantes la posibilidad de abrir cualquier repositorio que deseen", explicó AquaSec.
Riesgos muy reales de exploits.
El proveedor descargó todos los registros de GHTorrent del repositorio de GitHub de junio de 2019 y compiló una lista de 125 millones de nombres de repositorios únicos. Luego tomaron muestras del 1% (1,25 millones de nombres de repositorios) y verificaron cada uno para ver si era vulnerable al robo de repositorios. “¡Descubrimos que había 36.983 depósitos! Esto representa una tasa de éxito del 2,95%”, dijo AquaSec. GHTorrent es un sitio web que proporciona un historial completo de los repositorios de GitHub.
La empresa descubrió que empresas como Google y Lyft contenían depósitos confidenciales y explicó la posible explotación en sus casos. Para Google, AquaSec encontró un archivo Léame con instrucciones sobre cómo construir un proyecto llamado Mathsteps que apunta a un repositorio de GitHub propiedad de Socratic, una empresa que Google adquirió en 2018 y que ya no existe. Aprovechando la vulnerabilidad, un atacante puede clonar este repositorio para romper la redirección. Esto puede llevar a los usuarios a acceder a un archivo que contiene código malicioso que el atacante insertó. La empresa de ciberseguridad también observó que las instrucciones incluían un comando de instalación para la dependencia. El código del atacante puede ejecutar código arbitrario en los terminales de usuarios desprevenidos. Para Lyft, AquaSec encontró un script de instalación en el repositorio de la empresa que recupera un archivo ZIP de otro repositorio, que era vulnerable al repositorio. Esto significa que los atacantes podrían inyectar su código malicioso automáticamente en cualquier script de instalación de Lyft. Tanto Google como Lyft solucionaron el problema.
Varias empresas expuestas indudablemente a niveles más altos
AquaSec aconseja a las empresas que revisen periódicamente sus repositorios en busca de enlaces que puedan recuperar recursos de directorios externos de GitHub, ya que las referencias a proyectos como el módulo Go pueden cambiar de nombre en cualquier momento. "Si cambia el nombre de su empresa, asegúrese de conservar el nombre anterior, incluso como marcador de posición, para evitar que los atacantes lo creen", advierte AquaSec. Los investigadores advierten que muchas otras organizaciones que no analizaron también podrían verse afectadas. "Es importante señalar que nuestro análisis sólo cubre parte de los datos disponibles, lo que significa que hay muchas más empresas vulnerables, incluida la suya", dijo AquaSec.
Otras noticias que te pueden interesar