No se libran ni los programas de código abierto: encuentran 35.000 con virus

No se libran ni los programas de código abierto: encuentran 35.000 con virus

David Onieva

Cuando hablamos de GitHub, nos referimos en realidad a una de las plataformas de desarrollo más usadas que almacena el código de las aplicaciones de una enorme cantidad de desarrolladores de todo el globo. Así los creadores de contenidos y programas tienen la posibilidad de compartir sus proyectos con el resto de manera sencilla, aunque no se libran de los ataques con virus.

Sin embargo, con el paso de los años en varias ocasiones hemos visto y sido partícipes de diversos ataques con virus contra este servicio online. Precisamente este es el caso que nos ocupa en estos instantes a través de un ataque masivo que se acaba de descubrir y del que os vamos a hablar a continuación. Para que os hagáis una idea aproximada de lo que os hablamos, ahora se ha descubierto que miles de repositorios de GitHub fueron clonados. Lo peor de todo ello es que estos clones se modificaron para engañar al resto de usuarios al incluir malware.

Los habituales de esta plataforma seguramente ya sepáis que la clonación de repositorios de código abierto es una práctica bastante común. Sin embargo, en este caso se ha visto que los plagiadores crean copias de proyectos legítimos, pero las contaminan con código malicioso. De este modo lo que se pretende es poner a disposición de todo el mundo aplicaciones y trozos de código contaminados a partir de otros legítimos.

Todo esto que os contamos lo ha descubierto el desarrollador de software Stephen Lacy a través de algo que ha denominado como un ataque de malware generalizado con virus en GitHub. En concreto se estima que dicho ataque afectó a unos 35.000 repositorios de software incluidos y almacenados en la plataforma de desarrollo. A su vez, tal y comentamos antes, estos miles de proyectos afectados son copias o clones de otros legítimos.

Decenas de miles de aplicaciones con virus en GitHub

Los mismos se crearon por atacantes para introducir malware. Llegados a este punto cabe mencionar que los desarrollos originales no sufrieron daño alguno. De este modo algunos de los populares proyectos oficiales como crypto, golang, python, o js, en principio no se han visto afectados. Pero eso no quiere decir que el hallazgo no sea importante, ya que se han clonado para introducir códigos maliciosos en estas copias, como os comentamos.

Imagen usuario de twitter
Stephen Lacy
@stephenlacy
I am uncovering what seems to be a massive widespread malware attack on @github.

– Currently over 35k repositories are infected
– So far found in projects including: crypto, golang, python, js, bash, docker, k8s
– It is added to npm scripts, docker images and install docs https://t.co/rq3CBDw3r9

07 de febrero, 2024 • 18:10

20K

1.4K

El ingeniero que descubrió todo el entramado lo hizo a partir de una URL extraña en un código fuente. Una vez que se puso a estudiar este caso más en profundidad, se vio que el uso de esta URL se extendía a más de 35.000 proyectos. Se encontraron archivos que contenían esta dirección de internet maliciosa, lo que representa el número de archivos sospechosos, no de repositorios infectados.

Por otro y de manera adicional se descubrió que más de 13.000 resultados maliciosos con virus procedían de un único repositorio llamado redhat-operator-ecosystem. Con todo y con ello en estos momentos se puede afirmar que dicho repositorio se ha eliminado de la plataforma GitHub. Por tanto, se podría decir que poco a poco estos trozos de malware van desapareciendo para que todo vuelva a la normalidad.

Asimismo, hay que tener en consideración que los proyectos clonados que contenían la URL maliciosa no solo contenían las variables de entorno del usuario. Además, disponían de una puerta trasera para la ejecución de código. Hay que decir que estas variables pueden proporcionar a los atacantes claves de API, tokens, o credenciales de Amazon AWS de los afectados.

¡Sé el primero en comentar!