
Usuarios de GitHub son blanco de ataques de malware peligrosos.
Delincuentes están utilizando GitHub para lanzar cargadores de malware y ladrones de información.
Investigadores de seguridad han descubierto una operación de malware como servicio (MaaS) que utiliza repositorios públicos de GitHub para atacar a sus objetivos. En un comunicado, se alertó que este nuevo enfoque de distribución ha permitido a los actores de la amenaza eludir las tácticas tradicionales de phishing, utilizando GitHub, que es comúnmente aceptado en ambientes empresariales.
La plataforma GitHub, muy popular en el ámbito del software de código abierto, enfrenta constantemente intentos de ataque. Recientemente, un grupo de repositorios maliciosos fue eliminado, siguiendo el patrón de otras operaciones anteriores.
La campaña maliciosa se centró en la difusión de dos familias de malware, Emmenthal y Amadey, que tienen como blanco principal a organizaciones en Ucrania. Emmenthal es un cargador de malware que generalmente descarga SmokeLoader, otro cargador, aunque este tipo de estrategia puede parecer incomprensible en un principio. Emmenthal está diseñado para ser un descargador sigiloso y de múltiples etapas, especializado en la infección inicial y en evadir detecciones. Una vez que logra establecer una base, transfiere la siguiente fase del ataque a SmokeLoader, que es un cargador modular con múltiples características para operaciones posteriores a la infección.
Por otro lado, Amadey es una botnet identificada por primera vez en 2018, mayormente comercializada en foros de cibercrimen de habla rusa. Esta botnet actúa como un descargador modular y un perfilador de sistemas, capaz de desplegar una variedad de malware, incluidas herramientas de robo de información y ransomware. En esta campaña, Amadey se alojó en GitHub y se disfrazó de diversas formas, como archivos MP4 o scripts en Python, por ejemplo, checkbalance.py
.
Para protegerse contra estos y otros tipos de amenazas, se recomienda a las empresas aplicar filtros estrictos para los archivos adjuntos basados en scripts, mantener un seguimiento riguroso de la ejecución de PowerShell y revisar sus políticas relacionadas con GitHub. También es aconsejable adoptar un enfoque de defensa en profundidad y monitoreo del comportamiento, lo que puede ayudar a detectar patrones de descarga sospechosos o cargas útiles que se están ejecutando en máquinas específicas.