Repositorios falsos en GitHub para engañar a expertos en ciberseguridad

En esta campaña de ataque inusual, el pirata informático instaló repositorios GitHub fraudulentos que albergan exploits de día cero falsos para aplicaciones populares, pero que, en realidad, contienen malware. El hacker también creó cuentas falsas de GitHub y Twitter de investigadores de seguridad e incluso utilizó fotos reales de investigadores que trabajaban para conocidas empresas de ciberseguridad. “El atacante hizo todo lo posible para crear todos estos perfiles falsos, solo para entregar un malware muy obvio”, dijeron en un informe los investigadores de la firma de seguridad VulnCheck, que descubrió el malware. repositorios maliciosos. “No se sabe si sus maniobras han dado frutos, pero continúan con su estrategia de ataque, pareciendo creer en un posible éxito.

Si bien los ataques dirigidos a los investigadores de seguridad no son nuevos, son relativamente raros y son más el trabajo de grupos de amenazas persistentes avanzadas (APT) que buscan acceder a información confidencial a la que tienen acceso los investigadores. Esto sucedió en la campaña informada por el Grupo de análisis de amenazas de Google en 2021, en la que una entidad norcoreana respaldada por el gobierno creó una red de cuentas falsas de personas que se hacían pasar por investigadores de seguridad en Twitter, Telegram, LinkedIn y otras plataformas de redes sociales, y que había utilizado para promover exploits de "prueba de concepto" para vulnerabilidades existentes, publicado en un blog y en videos en Youtube.

Una campaña de cuentas falsas de GitHub

Las cuentas falsas se usaron para contactar a investigadores reales e invitarlos a colaborar. Como parte de esta campaña, se compartió un proyecto de Visual Studio que contenía código para un exploit de "prueba de concepto", pero este proyecto también incluía una DLL maliciosa que implementaba malware en la computadora de la víctima. Además, algunos investigadores que visitaron el blog vieron sus sistemas actualizados explotados, lo que sugiere que los atacantes tenían acceso a exploits de día cero. El primer repositorio fraudulento fue descubierto a principios de mayo por VulnCheck, quien lo informó a GitHub, que lo eliminó de inmediato. Este repositorio afirmó albergar un exploit de ejecución remota de código de día cero para Signal, una popular aplicación de comunicaciones seguras muy apreciada en la comunidad de seguridad. El atacante continuó creando nuevas cuentas y repositorios con exploits falsos para Microsoft Exchange, Google Chrome, Discord y Chromium. Todos fueron creados por cuentas falsas que afirman pertenecer a investigadores que trabajan para una empresa llamada High Sierra Cyber ​​Security, que no parece existir.

Algunos nombres e información de perfil se reutilizaron para crear cuentas de Twitter que luego se usaron para promocionar repositorios, como en el ataque informado por Google. Sin embargo, parece que el ataque de 2021 fue mucho más sofisticado que esta última campaña y no hay evidencia de que fuera obra de los mismos atacantes. El código malicioso distribuido desde los repositorios de GitHub comprometidos en forma de un archivo llamado poc.py descarga uno de estos dos archivos adicionales según el sistema operativo, uno llamado cveslinux.zip y el otro llamado cveswindows.zip. Estos archivos de almacenamiento se descomprimen y se ejecuta el archivo que contienen. La carga útil de Windows es detectada por 36 programas antivirus en VirusTotal como un troyano, mientras que el binario de Linux está marcado por 25.

Vigilancia en todo momento para tener

“No está claro si la campaña fue iniciada por una sola persona que tiene tiempo de sobra o si es una acción más avanzada como la descubierta por Google TAG en enero de 2021”, dijeron los investigadores de VulnCheck. “Sin embargo, los investigadores de seguridad deben comprender que son objetivos útiles para los actores maliciosos y deben tener cuidado al descargar código de GitHub. Siempre deben revisar el código que ejecutan y nunca usar código que no entiendan”, agregaron. Generalmente, los especialistas experimentados toman precauciones cuando trabajan con código potencialmente malicioso. Para probar un exploit de prueba de concepto, utilizan un sistema de prueba dentro de una máquina virtual bien monitoreada y luego eliminada. En la mayoría de las empresas, ejecutar dicho código en una máquina de trabajo probablemente sería una violación de las políticas de seguridad estándar, especialmente si se trata de una empresa de ciberseguridad.