Hallan millones de repositorios de GitHub infectados con código malicioso

Los ciberdelincuentes han estado creando copias de repositorios legítimos y muy populares para confundir a los desarrolladores desprevenidos.

Alberto Payo

Periodista

Guardar

Piratas informáticos creando código malicioso (Imagen generada por IA)
Piratas informáticos creando código malicioso (Imagen generada por IA)

La firma de ciberseguridad Apiiro ha revelado en un reciente informe la existencia de un ataque de 'repo confusion' que habría comprometido ya más de 100.000 repositorios en GitHub.

De hecho, existe la posibilidad de que la cifra sea bastante superior y el número real llegue a millones. 

Según recoge la web Cybersecuritynews, este tipo de ataque supone explotar una vulnerabilidad en la forma en que Git, el sistema de control de versiones usado por GitHub, maneja los nombres de los repositorios y es capaz de provocar la inyección de código malicioso en repositorios legítimos. 

La técnica se sirve de la escala expansiva y la accesibilidad de la mencionada plataforma para lanzar ataques contra desarrolladores no preparados. 

Los developers desprevenidos descomprimen sin darse cuenta una carga útil oculta que consta de siete capas de ofuscación. Así se extrae código Python malicioso y un binario ejecutable, específicamente una versión modificada de BlackCap- Grabber. 

Dicho código ha sido diseñado para recopilar información confidencial, como credenciales de inicio de sesión de varias apps, datos vinculados al navegador, como contraseñas y cookies, así como otra información confidencial. 

En resumen, los atacantes han estado apuntando a repositorios populares y creando copias de los mismos. Las copias están infectadas con malware que se encarga de hacerse con todos estos datos. Posteriormente, los repositorios infectados fueron cargados nuevamente en GiHub con nombres idénticos, esperando que los desarrolladores despistados picaran y los eligieran. 

Para completar todas estas maniobras los cibermalos han estado promocionando todas las copias maliciosas mediante foros y plataformas online frecuentadas por developers.

Cuándo empezó todo

Apiiro recoge que una campaña de ataque se inició a mediados de 2023 ha ido ganando impulso en los últimos meses. 

Todo comenzó en mayo del año pasado, con paquetes maliciosos conteniendo partes de la carga útil actual en PyPI (índice de paquetes de Python).

Posteriormente, entre julio y agosto los atacantes pasaron a cargar directamente repositorios infectados en Github después de que PyPI eliminara los paquetes maliciosos. 

En los últimos meses la cifra de repositorios maliciosos ha ido in crescendo notablemente.