Los investigadores de seguridad cibernética han descubierto una nueva campaña en la que los actores de amenaza han publicado más de 67 repositorios de Github que afirman ofrecer herramientas de piratería basadas en Python, pero entregan cargas útiles troyanizadas.
Se evalúa la actividad, se evalúa la actividad de un escuadrón de plátano con nombre en código de ReversingLabs, como una continuación de una campaña deshonesta de Python que se identificó en 2023 como apuntando al repositorio de Python Package Index (PYPI) con paquetes falsos que se descargaron más de 75,000 veces y venía con capacidades de robo de información en los sistemas de Windows.
Los hallazgos se basan en un informe anterior del Centro de Tormenta de Internet de SANS en noviembre de 2024 que detalló una supuesta herramienta «Vapor-Account-Checker» alojada en GitHub, que incorporó características sigilosas para descargar cargas útiles adicionales de Python que puede inyectar código malicioso en el código malicioso de la criptomoneda de Exodus y los datos sensibles de la cosecha a un servidor externo («diéserbenni (.) Ru»). «).).).).).).
El análisis posterior del repositorio y la infraestructura controlada por los atacantes han llevado al descubrimiento de 67 repositorios de GitHub troyanizados que se hacen pasar por repositorios benignos con el mismo nombre.
Hay evidencia que sugiere que los usuarios que buscan software como herramientas de limpieza de cuentas y trucos de juegos como Cleaner de cuentas Discord, trucos externos de Fortnite, Tiktok UserName Checker y PayPal Bulk Cuenta Bhese son los objetivos de la campaña. Todos los repositorios identificados han sido retirados por Github.
«Las puertas traseras y el código troyanizado en los repositorios de código fuente disponibles públicamente como GitHub se están volviendo más frecuentes y representan un creciente vector de ataque de la cadena de suministro de software», dijo el investigador de reversinglabs Robert Simmons.
«Para los desarrolladores que dependen de estas plataformas de código abierto, es esencial verificar siempre que el repositorio que esté utilizando realmente contenga lo que espera».
Github como servicio de distribución de malware
El desarrollo se produce cuando GitHub se está convirtiendo cada vez más en el foco de varias campañas como vector de distribución de malware. A principios de esta semana, Trend Micro dijo que descubrió 76 repositorios maliciosos de GitHub operados por un actor de amenaza que llama a Water Curse para entregar malware en varias etapas.
Estas cargas útiles están diseñadas para desviar las credenciales, los datos del navegador y los tokens de sesión, así como para proporcionar a los actores de amenaza acceso remoto persistente a los sistemas comprometidos.
Luego, Check Point arroje luz sobre otra campaña que utiliza un servicio criminal conocido como Stargazers Ghost Network para dirigir a los usuarios de Minecraft con malware basado en Java. La Red Ghost Stargazers se refiere a una colección de cuentas de Github que propagan malware o enlaces maliciosos a través de repositorios de phishing.
«La red consta de múltiples cuentas que distribuyen enlaces maliciosos y malware y realizan otras acciones, como protagonizar, bifurcar y suscribirse a repositorios maliciosos para que parezcan legítimos», dijo Check Point.
La compañía de seguridad cibernética también ha evaluado que tales cuentas de «Github ‘Ghost’ son solo una parte de la gran imagen, con otras cuentas ‘fantasmas’ que operan en diferentes plataformas como una parte integral de un universo de distribución como un servicio de distribución».
CheckMarx expuso algunos aspectos de Stargazers Ghost Network en abril de 2024, llamando al patrón de la amenaza del actor de usar estrellas falsas y expulsar actualizaciones frecuentes para inflar artificialmente la popularidad de los repositorios y asegurarse de que surgieron en la cima de los resultados de búsqueda de GitHub.
Estos repositorios se disfrazan ingeniosamente como proyectos legítimos, generalmente relacionados con juegos populares, trucos o herramientas como rastreadores de precios de criptomonedas y predicción de multiplicadores para juegos de apuestas de choque.
Estas campañas también encajan con otra ola de ataque que se ha dirigido a los ciberdelincuentes novatos en la búsqueda de malware y herramientas de ataque fácilmente disponibles en GitHub con repositorios traseros para infectarlos con robos de información.
En un caso destacado por Sophos este mes, se ha descubierto que el repositorio de rat sakura troyanizado incorpora un código malicioso que comprometió a aquellos que compilaron el malware en sus sistemas con robadores de información y otros troyanos de acceso remoto (ratas).
Los repositorios identificados actúan como un conducto para cuatro tipos diferentes de puertas traseras que están integradas en Visual Studio Prebuild Events, Python Scripts, Archivos de pantalla de pantalla de pantalla de pantalla de pantalla de pantalla de pantalla y javascript para robar datos, tomar capturas de pantalla, comunicarse a través de Telegram, al igual que más cargas útiles, incluyendo Asyncrat, Remcos Rat y Lumma Stealer.
En total, la compañía de seguridad cibernética dijo que detectó no menos de 133 repositorios traseros como parte de la campaña, con 111 que contiene la puerta trasera previa a la construcción, y los demás que albergan Python, Screensaver y JavaScript Backdoors.
Sophos señaló además que estas actividades probablemente estén vinculadas a una operación de distribución como servicio (DAAS) que ha estado operativo desde agosto de 2022, y que ha utilizado miles de cuentas de Github para distribuir malware integrado dentro de repositorios troyados con temas de trucos de juegos, explotaciones y herramientas de ataque.
Si bien el método de distribución exacta utilizado en la campaña no está claro, se cree que los actores de amenaza también dependen de los servidores de discordia y los canales de YouTube para difundir los enlaces a los repositorios troyanizados.
«No está claro si esta campaña está directamente vinculada a algunas o todas las campañas anteriores informadas, pero el enfoque parece ser popular y efectivo, y es probable que continúe de una forma u otra», dijo Sophos. «En el futuro, es posible que el enfoque pueda cambiar, y los actores de amenaza pueden dirigirse a otros grupos además de los ciberdelincuentes y jugadores sin experiencia que usan trucos».