GitCaught: los actores de amenazas utilizan repositorios de GitHub para infraestructura maliciosa


En una investigación reciente, el grupo Insikt de Recorded Future descubrió una sofisticada campaña de cibercrimen liderada por actores de amenazas de habla rusa de la Comunidad de Estados Independientes (CEI). Estos actores de amenazas aprovecharon los perfiles de GitHub para hacerse pasar por aplicaciones de software legítimas como 1Password, Bartender 5 y Pixelmator Pro, y distribuir varios tipos de malware como Atomic macOS Stealer (AMOS) y Vidar. Esta actividad maliciosa pone de relieve cómo se explotan los servicios de Internet confiables para orquestar ataques cibernéticos que roban información personal.

GitCaught: Exponiendo el abuso de GitHub en ciberataques

Los actores de amenazas han creado con éxito perfiles y repositorios falsos en GitHub, presentando versiones falsas de software conocido. Estas variantes de malware están diseñadas para penetrar los sistemas de los usuarios y robar datos confidenciales, lo que demuestra el profundo conocimiento de los actores tanto del desarrollo de software como de la confianza que los usuarios depositan en dichas plataformas.

Nuestro análisis reveló que variantes de malware como Atomic macOS Stealer (AMOS), Vidar, Lumma y Octo no operan de forma aislada. Estas variantes comparten una infraestructura común de comando y control (C2), lo que sugiere un esfuerzo coordinado para maximizar el impacto de sus ataques. Esta configuración C2 compartida sugiere la presencia de un grupo altamente organizado con suficientes recursos y capacidades para lanzar ciberataques persistentes en una variedad de sistemas operativos y dispositivos.

La evolución de las variantes de malware plantea un desafío importante para las defensas de ciberseguridad. Las medidas de seguridad tradicionales a menudo no pueden combatir estas amenazas avanzadas y en evolución. La complejidad de los ataques y el desarrollo continuo de nuevas tácticas de malware exigen un enfoque proactivo y dinámico de la ciberseguridad.

En el corto plazo, las organizaciones deberán adoptar estrictos protocolos de seguridad, especialmente cuando integren código externo en sus entornos. Debe implementar un proceso de revisión de código en toda su organización y aprovechar herramientas de escaneo automatizado como GitGuardian, Checkmarx y GitHub Advanced Security para detectar malware potencial y patrones sospechosos en su código.

En el mediano plazo, las empresas deberían fortalecer su postura general de ciberseguridad mediante el desarrollo de estrategias para monitorear y bloquear aplicaciones maliciosas y scripts de terceros que pueden servir como vectores de malware. Además, compartir y colaborar con toda la comunidad de ciberseguridad es esencial para combatir ataques multifacéticos como los revelados en este estudio.

Para leer el análisis completo con notas finales, haga clic aquí para descargar el informe en formato PDF.



Fuente: https://www.recordedfuture.com/research/gitcaught-threat-actor-leverages-github-repository-for-malicious-infrastructure