Los ciberdelincuentes están implementando una técnica novedosa para manipular a los desarrolladores que usan GitHub y engañarlos para que descarguen malware, según investigadores de Checkmarx, quienes advierten hoy sobre un posible aumento en los ataques a la cadena de suministro de código abierto como resultado.
En la campaña, se descubrió que un actor de amenazas no revelado manipulaba la funcionalidad de búsqueda de GitHub creando repositorios maliciosos con nombres y temas populares, y usando actualizaciones automáticas y estrellas falsas para mejorar su clasificación de búsqueda en la plataforma.
Según el ingeniero de investigación de Checkmarx, Yehuda Gelb, el actor escondió código malicioso dentro de los repositorios contenidos dentro de csproj. y vcxproj. archivos, que son elementos importantes de las compilaciones de proyectos de Visual Studio, que se ejecutan automáticamente cuando se compila el proyecto. El atacante también modificó la carga útil según el origen de la víctima, comprobando específicamente si estaba ubicada en Rusia, aunque esta capacidad no parece haber sido activada todavía.
El ejecutable en sí comparte similitudes con un malware llamado Keyzetsu clipper, que apunta a billeteras de criptomonedas y establece persistencia en máquinas Windows infectadas mediante la creación de una tarea programada que ejecuta el malware diariamente a las 4 am, hora local, sin la participación del usuario.
“Los desarrolladores deben tener cuidado al utilizar código de repositorios públicos y estar atentos a propiedades sospechosas del repositorio, como altas frecuencias de confirmación y observadores de estrellas con cuentas creadas recientemente”, escribió Gelb.
búsqueda venenosa
La campaña descubierta por Gelb es particularmente notable por su explotación furtiva de las funciones de búsqueda legítimas dentro de GitHub. El actor de amenazas claramente tiene conocimientos avanzados sobre técnicas de optimización de búsqueda y utiliza nombres y temas que probablemente sean buscados por los usuarios, disfrazándolos de proyectos legítimos que a menudo se relacionan con juegos populares, trucos u otras herramientas.
Al explotar las acciones de GitHub, hacen que los repositorios se actualicen automáticamente con una frecuencia inusualmente alta; esto se hace realizando una modificación rápida en un archivo de registro con una fecha u hora actualizada, o algún otro pequeño cambio. Esta actividad aumenta continuamente la visibilidad del repositorio.
El atacante también amplifica la efectividad de su repositorio malicioso al emplear múltiples cuentas de GitHub de sockpuppet para aumentar artificialmente las calificaciones de estrellas del repositorio malicioso, aumentando aún más su visibilidad, especialmente en los casos en que los usuarios filtran los resultados por calificaciones.
Esta no es una técnica nueva en absoluto; de hecho, ha sido ampliamente utilizada en el pasado. Sin embargo, en incidentes anteriores en los que los atacantes manipularon las calificaciones de estrellas, tendieron a agregar cientos o miles de calificaciones falsas a sus repositorios; en este caso, parecen estar optando por un mayor realismo para evitar levantar demasiadas cejas.
Gelb también señaló que muchos de los observadores de estrellas títeres de calcetines fueron creados en la misma fecha, un indicador potencial de actividad sospechosa.
El código malicioso en sí se actualizó el 3 de abril de 2024 para dirigirlo a una nueva URL que descarga un archivo .7z cifrado diferente que contiene un ejecutable llamado feedbackAPI.exe, por lo que es evidente que la campaña todavía está activa.
En particular, el nuevo ejecutable se había rellenado con varios ceros en un intento de aumentar artificialmente el tamaño del archivo y superar el umbral de los escáneres, como VirusTotal, que sólo puede aceptar archivos de hasta 650 MB de tamaño (feedbackAPI.exe tiene un tamaño de 750 MB). .
Gelb dijo que había suficiente evidencia para revelar que la campaña había engañado exitosamente a mucha gente, y varios repositorios maliciosos han recibido quejas de usuarios que fueron engañados para descargar el código dudoso.
“El uso de repositorios maliciosos de GitHub para distribuir malware es una tendencia constante que representa una amenaza significativa para el ecosistema de código abierto”, escribió Gelb. “Al explotar la funcionalidad de búsqueda de GitHub y manipular las propiedades del repositorio, los atacantes pueden atraer a usuarios desprevenidos para que descarguen y ejecuten código malicioso”.
Gelb aconsejó a los usuarios de GitHub que se dieran cuenta de algunas señales de alerta que indican que una campaña de esta naturaleza podría estar en curso, incluidos repositorios con un número “extraordinario” de confirmaciones en relación con su antigüedad y observadores de estrellas que exhiben un comportamiento similar al de un títere.
Argumentó que tras el reciente ataque a la biblioteca de compresión de datos XZ Utils, en el que un actor malicioso aparentemente pasó años ganándose la confianza del responsable del proyecto de código abierto y realizó muchas actualizaciones útiles antes de intentar colarse por una puerta trasera, Sería imprudente, si no francamente irresponsable, que cualquier desarrollador confiara en la reputación como métrica cuando utiliza código fuente abierto.
“Un desarrollador que toma código a ciegas también asume ciegamente la responsabilidad de ese código. Estos incidentes resaltan la necesidad de revisiones manuales del código o el uso de herramientas especializadas que realicen inspecciones exhaustivas del código en busca de malware. Simplemente comprobar las vulnerabilidades conocidas es insuficiente”, advirtió.
La publicación de investigación completa, incluidos los indicadores de compromiso (IoC), está disponible en Checkmarx.