Hechos clave:
-
Un ingeniero de software realizó el hallazgo e identificó la mayor parte de los repositorios dañados
-
GitHub eliminó la totalidad de los repositorios vinculados con el ataque.
Un ingeniero de software descubrió que 35.000 repositorios de GitHub habÃan sido bifurcados (clonados) para incluir malware.
«Estoy descubriendo lo que parece ser un ataque masivo de malware generalizado en GitHub», indica una publicación difundida hoy en Twitter por Stephen Lacy. Según el ingeniero, muchas de las confirmaciones parecÃan ser inofensivas.
Otras, en cambio, incluÃan confirmaciones del autor original en GitHub, pero ninguna incluÃa una confirmación con GPG, un tipo de llave pública criptográfica que sirve para comprobar que el origen de un mensaje es genuino.
Algunos repositorios, que parecÃan tener todos los archivos infectados, mostraban señales de legitimidad. Sin embargo, no habÃan recibido ningún PR o solicitud de integración. Esto probarÃa que otros desarrolladores estaban participando en la programación de un determinado proyecto.
En un caso especÃfico, el atacante creó un repositorio falso de un proyecto de minerÃa de criptomonedas y envió un clon de un proyecto legÃtimo infectado.
El ataque no dañó ningún proyecto legÃtimo
GitHub eliminó todos los repositorios que tenÃan elementos sospechosos al recibir la notificación de Stephen Lacy, incluyendo algunos que parecÃan haber sido «archivados» en 2019 y en 2015.
También se comprobó posteriormente que ningún proyecto legÃtimo habÃa sido alterado de ninguna manera. Entre las pruebas que podemos citar se encuentra una URL que Lacy habÃa «encontrado en una búsqueda en Google» mientras investigaba sobre un proyecto de código abierto en GitHub: hxxp://ovz1.j19544519.pr46m.vps.myjino[.]ru.
La URL era común a todos los repositorios clonados y sirvió a muchos para reconocer cuáles podrÃan estar infectados. Si alguien intenta acceder en este momento a uno de los enlaces compartidos por Stephen Lacy se encontrará un código de error 404 o una redirección al repositorio legÃtimo.
Cómo funcionaba el ataque
La práctica de bifurcar un repositorio de código abierto es común en el desarrollo. Sin embargo, en esta oportunidad habÃa una intención oculta.
El desarrollador James Tucker señaló que los repositorios clonados que contenÃan la URL maliciosa contenÃan una puerta trasera de una lÃnea de código, como informó Bleepingcomputer. Además, exfiltraban las variables de entorno del usuario.
La filtración de variables de entorno puede proporcionar al atacante información de seguridad valiosa. Por ejemplo, sus claves API, claves criptográficas, tokens y credenciales de Amazon AWS.
Por su parte, la instrucción de una sola lÃnea (lÃnea 241 anterior) permite que los atacantes remotos ejecuten cualquier código arbitrario en los sistemas de aquellos usuarios que instalen y ejecuten estos clones maliciosos.
Bleepingcoputer descubrió además que, de los más de 35.000 repositorios sospechosos, 13.000 provenÃan de un mismo repositorio denominado «redhat-operator-ecosystem». También, determinaron que la lÃnea de tiempo de creación de estos falsos repositorios podrÃa ubicarse, en mayor medida, entre seis y veinte dÃas. Aunque algunas confirmaciones son tan antiguas como 2015, presuntamente.