Banda de hackers fantasma difunde malware en GitHub silenciosamente
Según una investigación realizada por expertos en seguridad, existe una red secreta de unas 3 mil cuentas fantasmas en GitHub, las cuales han estado manipulando de forma silenciosa las páginas de este sitio web de alojamiento de código. Esto con el objetivo de promover el malware y enlaces de phishing.
Desde el año pasado, al menos, un ciberdelincuente al que los investigadores llamaron “Stargazer Goblin”, ha estado alojando repositorios de código malicioso en esta plataforma, la cual es propiedad de Microsoft. Recordemos que GitHub es el sitio web de código abierto más grande del mundo, albergando el trabajo de millones de desarrolladores.
Además de cargar repositorios maliciosos, el usuario cibercriminal ha estado impulsando páginas mediante el uso de las propias herramientas de la comunidad de esta plataforma. Los investigadores que descubrieron este comportamiento nefasto, señalan que la persona detrás de la red utiliza sus cuentas falsas para “marcar con una estrella”, bifurcar y vigilar las páginas maliciosas.
Las acciones mencionadas anteriormente, que son algo similares a los “me gusta”, compartir y suscribirse, respectivamente, ayudan a que las páginas parezcan populares y legítimas. Cuantas más estrellas, más realista parece la página, por lo que los repositorios parecían realmente legítimos, según los investigadores.
Según los especialistas, la forma en la que han desarrollado esto es inteligente, aprovechando el funcionamiento de GitHub. Si bien los hackers maliciosos han estado abusando de esta plataforma durante años, subiendo código malicioso y adaptando repositorios legítimos, nunca antes se había visto una red de cuentas falsas que operaran de esta manera.
La red fantasma, llamada Stargazers, bautizada así por los investigadores que descubrieron las primeras cuentas, ha estado difundiendo repositorios maliciosos de GitHub, los cuales ofrecen descargas de herramientas para redes sociales, juegos y criptomonedas.
Por ejemplo, las páginas pueden afirmar que proporcionan código para ejecutar una VPN. Del mismo modo, puede ofrecer una licencia para una versión de Photoshop de Adobe. Dichas páginas están dirigidas a los usuarios de Windows, principalmente, teniendo como objetivo sacar provecho de las personas que buscan software gratuito en línea.
TIC Defense es una empresa que te ayuda a aumentar la ciberseguridad de tu empresa. Todo ello a través de la implementación de herramientas, soluciones, servicios y productos con tecnología de punta que están enfocados en prevenir ciberataques y en ofrecer una respuesta rápida cuando ocurre un evento malicioso.
El operador detrás de esta red cobra a otros hackers maliciosos por emplear sus servicios, una práctica que se llama “distribución como servicio”. Además, los expertos afirman que se ha detectado que esta red maliciosa comparte varios tipos de ransomware y malware de robo de información.
Los expertos desactivaron las cuentas de usuario maliciosas y cómplices, de acuerdo con las Políticas de uso aceptable de GitHub, las cuales no permiten la publicación de contenido que respalde directamente ataques activos ilegales o campañas de malware, que se encuentren causando daños técnicos.
GitHub tiene a más de 100 millones de usuarios contribuyendo con más de 420 millones de repositorios. Dada la amplitud de esta plataforma, no sorprende que los ciberdelincuentes se encuentren abusando de ella constantemente.
En los últimos años, los expertos han estado mapeando instancias de estrellas falsas, detectando código malicioso oculto en proyectos, enfrentando ataques a la cadena de suministro contra el software de código abierto y visualizando comentarios que se usan para difundir malware.
