Los actores de amenazas están haciendo todo lo posible para garantizar que tantos desarrolladores como sea posible utilicen el código malicioso oculto en repositorios de GitHub de apariencia legítima, advirtió Checkmarx. El ingeniero de investigación del proveedor de seguridad, Yehuda Gelb, describió una serie de técnicas implementadas en una campaña reciente diseñada para garantizar que estos repositorios aparezcan en la parte superior de los resultados de búsqueda de GitHub. «Nuestros hallazgos recientes revelan que un actor de amenazas crea repositorios de GitHub con nombres y temas que probablemente serán buscados por usuarios desprevenidos», escribió. «Estos repositorios están hábilmente disfrazados de proyectos legítimos, a menudo relacionados con juegos, trucos o herramientas populares, lo que dificulta a los usuarios distinguirlos del código benigno». Gelb describió dos técnicas específicas que se utilizan en la campaña: Los actores de amenazas utilizan GitHub Actions para actualizar automáticamente sus repositorios maliciosos con alta frecuencia con pequeños cambios aleatorios. Esto aumenta artificialmente su visibilidad, especialmente si un usuario filtra los resultados de búsqueda por «actualización más reciente». Los atacantes utilizan múltiples cuentas falsas para agregar estrellas a sus repositorios maliciosos, creando la ilusión de que son muy confiables y populares. Esto también garantiza que los repositorios aparecerán en los primeros puestos de los resultados de búsqueda cuando la víctima filtre por «la mayoría de las estrellas». «Los usuarios desprevenidos, a menudo atraídos por los principales resultados de búsqueda y repositorios con una participación aparentemente positiva, tienen más probabilidades de hacer clic en estos repositorios maliciosos y utilizarlos». el código o las herramientas que proporcionan, sin ser conscientes de los peligros ocultos que acechan en su interior”, advirtió Gelb. El malware en sí está oculto dentro de repositorios aparentemente legítimos al estar ofuscado en los archivos .csproj o .vcxproj que normalmente se usan en proyectos de Visual Studio, continuó. Una vez que se descarga el repositorio, el malware se ejecuta automáticamente y verifica si la IP de la víctima se encuentra en Rusia, antes de descargar cargas útiles cifradas desde URL específicas. Lea más sobre las amenazas de GitHub: Los expertos en seguridad instan a TI a bloquear los servicios de GitHub Según el informe, esta campaña en particular fue diseñada para difundir el malware clipper de billetera criptográfica utilizado para robar las criptomonedas de las víctimas, aunque en teoría las mismas técnicas podrían usarse para difundir otras código malicioso. Gelb instó a los usuarios de GitHub a vigilar de cerca la frecuencia de confirmación de los repositorios que figuran en la plataforma y si solo están introduciendo cambios menores. Agregó que si los usuarios con cuentas creadas al mismo tiempo agregan estrellas a un repositorio en particular, debería ser otra señal de alerta. Crédito de la imagen: DJSinop y Michael Vi/Shutterstock.com