Los investigadores de seguridad cibernética han descubierto una nueva campaña en la que los actores de amenaza han publicado más de 67 repositorios de Github que afirman ofrecer herramientas de piratería basadas en Python, pero entregan cargas aperos troyanizadas.
Se evalúa la actividad, se evalúa la actividad de un escuadrón de plátano con nombre en código de ReversingLabs, como una continuación de una campaña deshonesta de Python que se identificó en 2023 como apuntando al repositorio de Python Package Index (PYPI) con paquetes falsos que se descargaron más de 75,000 veces y venía con capacidades de robo de información en los sistemas de Windows.
Los hallazgos se basan en un crónica aludido del Centro de Tormenta de Internet de SANS en noviembre de 2024 que detalló una supuesta utensilio “Vapor-Account-Checker” alojada en GitHub, que incorporó características sigilosas para descargar cargas aperos adicionales de Python que puede inyectar código ladino en el código ladino de la criptomoneda de Exodus y los datos sensibles de la cosecha a un servidor forastero (“diéserbenni (.) Ru”). “).).).).).).
El investigación posterior del repositorio y la infraestructura controlada por los atacantes han llevado al descubrimiento de 67 repositorios de GitHub troyanizados que se hacen suceder por repositorios benignos con el mismo nombre.
Hay evidencia que sugiere que los usuarios que buscan software como herramientas de aseo de cuentas y trucos de juegos como Cleaner de cuentas Discord, trucos externos de Fortnite, Tiktok UserName Checker y PayPal Bulk Cuenta Bhese son los objetivos de la campaña. Todos los repositorios identificados han sido retirados por Github.
“Las puertas traseras y el código troyanizado en los repositorios de código fuente disponibles públicamente como GitHub se están volviendo más frecuentes y representan un creciente vector de ataque de la cautiverio de suministro de software”, dijo el investigador de reversinglabs Robert Simmons.
“Para los desarrolladores que dependen de estas plataformas de código campechano, es esencial compulsar siempre que el repositorio que esté utilizando efectivamente contenga lo que retraso”.
Github como servicio de distribución de malware
El crecimiento se produce cuando GitHub se está convirtiendo cada vez más en el foco de varias campañas como vector de distribución de malware. A principios de esta semana, Trend Micro dijo que descubrió 76 repositorios maliciosos de GitHub operados por un actor de amenaza que fogata a Water Curse para entregar malware en varias etapas.
Estas cargas aperos están diseñadas para desviar las credenciales, los datos del navegador y los tokens de sesión, así como para proporcionar a los actores de amenaza ataque remoto persistente a los sistemas comprometidos.
Luego, Check Point arroje luz sobre otra campaña que utiliza un servicio criminal conocido como Stargazers Ghost Network para dirigir a los usuarios de Minecraft con malware basado en Java. La Red Ghost Stargazers se refiere a una colección de cuentas de Github que propagan malware o enlaces maliciosos a través de repositorios de phishing.
“La red consta de múltiples cuentas que distribuyen enlaces maliciosos y malware y realizan otras acciones, como protagonizar, bifurcar y suscribirse a repositorios maliciosos para que parezcan legítimos”, dijo Check Point.
La compañía de seguridad cibernética asimismo ha evaluado que tales cuentas de “Github ‘Ghost’ son solo una parte de la gran imagen, con otras cuentas ‘fantasmas’ que operan en diferentes plataformas como una parte integral de un universo de distribución como un servicio de distribución”.
CheckMarx expuso algunos aspectos de Stargazers Ghost Network en abril de 2024, llamando al patrón de actores de amenaza de usar estrellas falsas y expulsar actualizaciones frecuentes para inflar artificialmente la popularidad de los repositorios y cerciorarse de que aparecieron adicionalmente de los resultados de búsqueda de GitHub.
Estos repositorios se disfrazan ingeniosamente como proyectos legítimos, generalmente relacionados con juegos populares, trucos o herramientas como rastreadores de precios de criptomonedas y predicción de multiplicadores para juegos de apuestas de choque.
Estas campañas asimismo encajan con otra ola de ataque que se ha dirigido a los ciberdelincuentes novatos en la búsqueda de malware y herramientas de ataque fácilmente disponibles en GitHub con repositorios traseros para infectarlos con robos de información.
En un caso destacado por Sophos este mes, se ha descubierto que el repositorio de rat sakura troyanizado incorpora un código ladino que comprometió a aquellos que compilaron el malware en sus sistemas con robadores de información y otros troyanos de ataque remoto (ratas).
Los repositorios identificados actúan como un conducto para cuatro tipos diferentes de puertas traseras que están integradas en Visual Studio Prebuild Events, Python Scripts, Archivos de pantalla de pantalla de pantalla de pantalla de pantalla de pantalla de pantalla y javascript para robar datos, tomar capturas de pantalla, comunicarse a través de Telegram, al igual que más cargas aperos, incluyendo Asyncrat, Remcos Rat y Lumma Stealer.
En total, la compañía de seguridad cibernética dijo que detectó no menos de 133 repositorios traseros como parte de la campaña, con 111 que contiene la puerta trasera previa a la construcción, y los demás que albergan Python, Screensaver y JavaScript Backdoors.
Sophos señaló adicionalmente que estas actividades probablemente estén vinculadas a una operación de distribución como servicio que ha estado operativa desde agosto de 2022, y que ha utilizado miles de cuentas de GitHub para distribuir malware integrado adentro de los repositorios troyanizados con temas de trucos de juegos, explotaciones y herramientas de ataque.
Si aceptablemente el método de distribución exacta utilizado en la campaña no está claro, se cree que los actores de amenaza asimismo dependen de los servidores de discordia y los canales de YouTube para difundir los enlaces a los repositorios troyanizados.
“No está claro si esta campaña está directamente vinculada a algunas o todas las campañas anteriores informadas, pero el enfoque parece ser popular y efectivo, y es probable que continúe de una forma u otra”, dijo Sophos. “En el futuro, es posible que el enfoque pueda cambiar, y los actores de amenaza pueden dirigirse a otros grupos adicionalmente de los ciberdelincuentes y jugadores sin experiencia que usan trucos”.
Chet Wisniewski, director y ciso de Field en Sophos, dijo a The Hacker News que “hay similitudes sorprendentes” entre la campaña y la maldición del agua. Estos rasgos que abarcan como –
- Repositorios con “nombres extremadamente similares”
- Uso amplio de cuentas de Github
- Un enfoque similar en las aplicaciones de electrones
- Demasía similar de los nociones previos a la construcción de Visual Studio, y
- Una relato a la dirección de correo electrónico “ischhfd83” (“ischhfd83@rambler (.) Ru”), que se utiliza para hacer los compromisos con los repositorios de GitHub
“Si estas campañas están estrechamente relacionadas o simplemente son parte de un clúster de amenazas que trabaja desde la misma cojín de código y el compendio de jugadas merece una investigación adicional”, agregó Wisniewski.
