Las plataformas de colaboración y desarrollo de software confiables y ampliamente utilizadas, como GitHub y GitLab, se han convertido al mismo tiempo en objetivos y vehículos de una gama cada vez mayor de actividades maliciosas. Las últimas manifestaciones de esa tendencia incluyen una campaña de distribución de malware que involucra repositorios legítimos de GitHub y la disponibilidad esta semana de un exploit para una vulnerabilidad que permite a un atacante obtener acceso como cualquier usuario de GitLab. El primero es un ejemplo de cómo los atacantes están explotando la reputación confiable de plataformas como GitHub para intentar colar malware a través de los mecanismos de detección de endpoints. Mientras tanto, la vulnerabilidad de GitLab resalta la creciente exposición de las organizaciones a exploits que brindan a los atacantes acceso a repositorios de códigos y filtran secretos y datos, modifican o inyectan código en el software y manipulan el proceso de CI/CD. Alojamiento de malware en repositorios confiables de GitHub Los investigadores de Cofense informaron esta semana sobre una campaña de phishing en la que un actor de amenazas intenta dirigir a víctimas específicas en los sectores de seguros y finanzas a malware alojado en repositorios confiables de GitHub. La campaña implica que el atacante envíe a las víctimas correos electrónicos de phishing con temas fiscales que contienen un enlace a un archivo protegido con contraseña que contiene Remcos, un troyano de acceso remoto que tanto los ciberdelincuentes como los grupos respaldados por el estado han utilizado en varios ataques de ciberespionaje y robo de datos a lo largo de los años. . Lo que hace que la campaña sea notable, según Cofense, es cómo el actor de amenazas logró colar los archivos que contienen Remcos RAT en repositorios legítimos de GitHub que pertenecen a entidades confiables. Ejemplos de tales entidades incluyen His Majesty’s Revenue & Customs (HMRC), la autoridad tributaria nacional del Reino Unido; la contraparte de Nueva Zelanda, InlandRevenue; y UsTaxes, una plataforma de declaración de impuestos de código abierto. En cada caso, el atacante utilizó comentarios de GitHub para cargar un archivo malicioso que contenía Remcos RAT en los repositorios de las respectivas entidades. Muchos repositorios de GitHub permiten a los desarrolladores comentar sobre proyectos de software colaborativos y en curso. Los comentarios pueden cubrir una amplia gama de temas, incluidos cambios de código propuestos, documentación y problemas relacionados con errores, solicitudes de aclaración de creación de tareas, gestión de tareas y actualizaciones de progreso, y resolución de conflictos de fusión. «Los comentarios de GitHub son útiles para un actor de amenazas porque se puede adjuntar malware a un comentario en un repositorio de GitHub sin tener que cargarlo en los archivos de código fuente de ese repositorio», escribió el investigador de seguridad de Cofense, Jacob Malimban, en una publicación de blog. «Esto significa que el repositorio legítimo de GitHub de cualquier organización que permita comentarios puede contener archivos no aprobados fuera del código examinado». Los archivos no autorizados que alguien podría enviar a través de comentarios de GitHub terminan en un subdirectorio separado del que contiene los archivos examinados del repositorio, dijo Malimban. Lo que es especialmente preocupante es el hecho de que el enlace al archivo malicioso seguirá funcionando incluso si se elimina el comentario. Múltiples incidentes Otros actores de amenazas también han notado la oportunidad. Un ejemplo reciente es el proveedor de Redline Stealer, quien a principios de este año fue descubierto usando nada menos que el propio repositorio GitHub de Microsoft para alojar el malware que roba información. En esa campaña, al igual que con los nuevos ataques Remcos RAT que Cofense detectó, el actor de amenazas subió el malware como comentario al repositorio GitHub vcpkg de Microsoft. Los correos electrónicos con enlaces a dominios como GitHub son eficaces para eludir puertas de enlace de correo electrónico seguras debido a su reputación de confianza. De hecho, los atacantes pueden vincularse directamente a su malware en dichos dominios sin la necesidad de redirigir a los usuarios a otros sitios, o sin exigirles que utilicen otras técnicas de elusión de seguridad como escanear códigos QR, dijo Cofense. El actor de amenazas detrás del nuevo Remcos RAT fácilmente podría haber apuntado también a víctimas en otros sectores. Pero probablemente mantuvieron deliberadamente su enfoque limitado para probar qué tan efectiva es la estrategia de alojar malware en los repositorios de GitHub antes de atacar a otros, supuso Malimban. Creciente interés de los actores de amenazas Mientras tanto, el nuevo exploit para GitLab apunta a una vulnerabilidad crítica de omisión de autenticación (CVE-2024-45409) que afecta las bibliotecas Ruby-SAML y OmniAuth-SAML que GitLab utiliza para habilitar el inicio de sesión único basado en SAML. El script de explotación ofrece a los atacantes una forma de aprovechar la vulnerabilidad para acceder a GitLab en el contexto de cualquier usuario. La vulnerabilidad afecta a todas las versiones de GitLab Community Edition (CE) y Enterprise Edition (EE) inferiores a la 16.11.10. La falla también está presente en múltiples versiones 17.xx de GitLab. El exploit es otra señal del creciente interés de los investigadores y actores de amenazas en repositorios como GitHub y GitLab y sus usuarios. Durante el año pasado, ha habido múltiples casos de ataques dirigidos a repositorios en GitHub, como uno que involucró extorsión cibernética que la firma chilena de ciberseguridad CronUp informó en junio y otro que involucró el uso de cuentas fantasma en GitHub para distribuir malware. Los usuarios de GitLab también han tenido que lidiar con sus problemas de seguridad, como CVE-2024-45409 y otras dos vulnerabilidades recientes (CVE-2024-6385 y CVE-2024-5655) que representaron una gran amenaza para la integridad de CI/ Canalizaciones de CD. URL de la publicación original: https://www.darkreading.com/vulnerabilities-threats/hackers-hide-remcos-rat-github-comments