Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Hackers que abusan de GitHub para evadir la detección y controlar hosts comprometidos
  • Tecnología

Hackers que abusan de GitHub para evadir la detección y controlar hosts comprometidos

teknomers 19 de Aralık de 2023 (Last updated: 19 de Aralık de 2023) 5 minutes read
Hackers que abusan de GitHub para evadir la detección y


19 de diciembre de 2023Las noticias de los piratas informáticosSeguridad del software/Inteligencia sobre amenazas

Los actores de amenazas utilizan cada vez más GitHub con fines maliciosos a través de métodos novedosos, incluido el abuso de Gists secretos y la emisión de comandos maliciosos a través de mensajes de confirmación de git.

“Los autores de malware ocasionalmente colocan sus muestras en servicios como Dropbox, Google Drive, OneDrive y Discord para alojar malware de segunda etapa y eludir herramientas de detección”, afirma Karlo Zanki, investigador de ReversingLabs. dicho en un informe compartido con The Hacker News.

“Pero últimamente hemos observado un uso cada vez mayor de la plataforma de desarrollo de código abierto GitHub para alojar malware”.

Se sabe que los actores de amenazas utilizan servicios públicos legítimos para alojar malware y actuar como solucionadores de caída muerta para recuperar la dirección de comando y control (C2) real.

PRÓXIMO SEMINARIO WEB

Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad

Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes.

Únete ahora

Si bien el uso de fuentes públicas para C2 no los hace inmunes a las eliminaciones, sí ofrecen el beneficio de permitir a los actores de amenazas crear fácilmente una infraestructura de ataque que sea económica y confiable.

Esta técnica es engañosa, ya que permite a los actores de amenazas combinar su tráfico de red malicioso con comunicaciones genuinas dentro de una red comprometida, lo que dificulta la detección y respuesta a las amenazas de manera efectiva. Como resultado, las posibilidades de que un punto final infectado que se comunica con un repositorio de GitHub sea marcado como sospechoso son menos probables.

El abuso de GitHub apunta a una evolución de esta tendencia. Los gists, que no son más que repositorios, ofrecen una manera fácil para que los desarrolladores compartan fragmentos de código con otros.

Vale la pena señalar en esta etapa que las esencias públicas aparecen en la página de GitHub. Descubre el feedmientras que las esencias secretas, aunque no se puede acceder a ellas a través de Discover, se pueden compartir con otros compartiendo su URL.

“Sin embargo, si alguien que no conoces descubre la URL, también podrá ver tu esencia”, GitHub notas en su documentación. “Si necesita mantener su código alejado de miradas indiscretas, es posible que desee crear un repositorio privado”.

Otro aspecto interesante de los secretos esenciales es que no se muestran en la página de perfil de GitHub del autor, lo que permite a los actores de amenazas aprovecharlos como una especie de servicio de Pastebin.

ReversingLabs dijo que identificó varios paquetes PyPI, a saber, httprequesthub, pyhttpproxifier, libsock, libproxy y libsocks5, que se hacían pasar por bibliotecas para manejar el proxy de red, pero contenían una URL codificada en Base64 que apuntaba a una esencia secreta alojada en una cuenta de GitHub desechable sin ningún proyectos de cara al público.

Gist, por su parte, presenta comandos codificados en Base64 que se analizan y ejecutan en un nuevo proceso a través de código malicioso presente en el archivo setup.py de los paquetes falsificados.

La seguridad cibernética

Trend Micro destacó previamente el uso de esencias secretas para entregar comandos maliciosos a hosts comprometidos en 2019 como parte de una campaña que distribuye una puerta trasera llamada SLUB (abreviatura de SLack y githUB).

Una segunda técnica observada por la empresa de seguridad de la cadena de suministro de software implica la explotación de las funciones del sistema de control de versiones, basándose en mensajes de confirmación de git para extraer comandos para su ejecución en el sistema.

El paquete PyPI, llamado easyhttprequest, incorpora código malicioso que “clona un repositorio git específico de GitHub y verifica si la confirmación ‘principal’ de este repositorio contiene un mensaje de confirmación que comienza con una cadena específica”, dijo Zanki.

“Si lo hace, elimina esa cadena mágica y decodifica el resto del mensaje de confirmación codificado en Base64, ejecutándolo como un comando de Python en un nuevo proceso”. El repositorio de GitHub que se clona es una bifurcación de un proyecto PySocks aparentemente legítimo y no tiene ningún mensaje de confirmación de git malicioso.

Todos los paquetes fraudulentos ahora se han eliminado del repositorio del índice de paquetes de Python (PyPI).

“El uso de GitHub como infraestructura C2 no es nuevo en sí mismo, pero el abuso de funciones como Git Gists y los mensajes de confirmación para la entrega de comandos son enfoques novedosos utilizados por actores maliciosos”, dijo Zanki.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: “Aún no se ha iniciado una gran renovación en los Países Bajos”
Next: Taylor Swift puede estar feliz: “Eras” fue nombrada “Vibe of the Year”.

Related Stories

Ofertas de verano: estas 20 promociones podrían no estar en
  • Tecnología

Ofertas de verano: estas 20 promociones podrían no estar en línea por mucho tiempo este fin de semana

teknomers 12 de Temmuz de 2026
Hannah Montana Linux renace 18 años después: la distribución icónica
  • Tecnología

Hannah Montana Linux renace 18 años después: la distribución icónica hace su gran regreso

teknomers 12 de Temmuz de 2026
Seguridad vial: por qué su próximo coche nuevo supervisará obligatoriamente
  • Tecnología

Seguridad vial: por qué su próximo coche nuevo supervisará obligatoriamente su mirada

teknomers 12 de Temmuz de 2026

You May Have Missed

Diez años después, el homenaje de Niza a las víctimas
  • Entretenimiento

Diez años después, el homenaje de Niza a las víctimas del atentado comienza este domingo 12 de julio.

teknomers 12 de Temmuz de 2026
  • General

La crisis automotriz afecta a los jóvenes ingenieros de Alemania

teknomers 12 de Temmuz de 2026
  • General

Fallece a los 74 años el ex gobernante de Catar, Sheikh Hamad bin Khalifa Al Thani

teknomers 12 de Temmuz de 2026
  • Deporte

Cuestionario de Wimbledon: Nombra a todos los campeones de singles masculinos en la era Open

teknomers 12 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.