Ciberdelincuentes Abusan de GitHub para Evitar Detección y Controlar Hosts Comprometidos

XPoint
Publicado el 19/12/2023

Los actores de amenazas están aprovechando cada vez más GitHub con métodos novedosos, como el abuso de Gists secretos y el envío de comandos maliciosos a través de mensajes de commit de git.

El investigador de ReversingLabs, Karlo Zanki, señala que, aunque los autores de malware suelen utilizar servicios como Dropbox, Google Drive y Discord para alojar malware de segunda etapa, últimamente han observado un aumento en el uso de la plataforma de desarrollo de código abierto GitHub con fines maliciosos.

Este enfoque astuto permite a los actores de amenazas fusionar su tráfico de red malicioso con comunicaciones genuinas dentro de una red comprometida, dificultando la detección y respuesta efectiva a las amenazas. Así, las posibilidades de que un punto final infectado que se comunique con un repositorio de GitHub sea marcado como sospechoso son menos probables.

El abuso de GitHub Gists señala una evolución de esta tendencia. Los Gists, que son repositorios en sí mismos, ofrecen una forma fácil para que los desarrolladores compartan fragmentos de código. Los Gists públicos aparecen en el feed de Descubrimiento de GitHub, mientras que los Gists secretos, aunque no son accesibles a través de Descubrimiento, pueden compartirse con otros mediante la URL.

Esta práctica revela una innovadora manera de utilizar Gists secretos como un servicio tipo pastebin, sin aparecer en el perfil público del autor en GitHub. Zanki identifica varios paquetes de PyPI que se hacían pasar por bibliotecas legítimas, pero en realidad contenían URL codificadas en Base64 apuntando a Gists secretos alojados en cuentas temporales de GitHub. Estos Gists presentaban comandos codificados en Base64, que se ejecutaban a través de código malicioso presente en el archivo setup.py de los paquetes falsificados.

La conclusión es que, aunque el uso de GitHub como infraestructura C2 no es nuevo, el abuso de funciones como Git Gists y mensajes de commit para la entrega de comandos son enfoques novedosos utilizados por actores maliciosos.

Preguntas frecuentes

¿Qué es GitHub?

+

GitHub es una plataforma de desarrollo colaborativo basada en la web que utiliza el sistema de control de versiones Git. Fue lanzada en 2008 y es una de las plataformas más populares para alojar proyectos de software y facilitar la colaboración entre desarrolladores.

GitHub se ha convertido en una herramienta esencial en el mundo del desarrollo de software, utilizado tanto por desarrolladores individuales como por equipos y organizaciones para colaborar en proyectos, gestionar el código fuente y realizar un seguimiento del progreso del desarrollo.

¿Qué es un CyberSOC?

+

CyberSOC es una abreviatura de Centro de Operaciones de Ciberseguridad (en inglés, Cybersecurity Operations Center). Un CyberSOC es un componente clave en la infraestructura de Ciberseguridad de una organización. Su función principal es Monitorear, Detectar, Analizar y Responder a Ciberamenazas en tiempo real. El Equipo de un CyberSOC está compuesto por profesionales con experiencia en análisis de amenazas, forense digital, inteligencia de amenazas y otros campos relacionados.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es el Hacking Ético?

+

El Hacking Ético, Ethical Hacking o Pentesting es una práctica de ciberseguridad en la que profesionales, conocidos como «hackers éticos» o «expertos en seguridad», utilizan sus habilidades para identificar y corregir vulnerabilidades en sistemas, redes y aplicaciones. A diferencia de los hackers maliciosos, los hackers éticos trabajan con el permiso del propietario del sistema para mejorar su seguridad. El proceso de hacking ético generalmente incluye la evaluación de la seguridad, la identificación de posibles vulnerabilidades, la recomendación de soluciones y, a menudo, la realización de pruebas de penetración controladas para fortalecer la ciberseguridad de una organización. Este enfoque ayuda a prevenir ataques maliciosos y a proteger la integridad y privacidad de la información.

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos