Se ha observado que al menos la mitad de una docena de cuentas de GitHub de investigadores falsos asociados con una empresa de ciberseguridad fraudulenta introducen repositorios maliciosos en el servicio de alojamiento de código.
Los siete repositorios, que todavía están disponibles al momento de escribir, afirman ser un exploit de prueba de concepto (PoC) para supuestas fallas de día cero en Discord, Google Chrome y Microsoft Exchange Server.
VulnCheck, que descubrió la actividad, dicho«las personas que crean estos repositorios han hecho un gran esfuerzo para que parezcan legítimos mediante la creación de una red de cuentas y perfiles de Twitter, fingiendo ser parte de una empresa inexistente llamada High Sierra Cyber Security».
La firma de ciberseguridad dijo que se encontró por primera vez con los repositorios deshonestos a principios de mayo cuando se observó que lanzaban exploits PoC similares para errores de día cero en Signal y WhatsApp. Desde entonces, los dos repositorios han sido eliminados.
Además de compartir algunos de los supuestos hallazgos en Twitter en un intento de generar legitimidad, se descubrió que el conjunto de cuentas usa fotografías de investigadores de seguridad reales de compañías como Rapid7, lo que sugiere que los actores de amenazas han hecho todo lo posible para ejecutar la campaña.
El PoC es un script de Python que está diseñado para descargar un binario malicioso y ejecutarlo en el sistema operativo de la víctima, ya sea ventanas o linux.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
La lista de repositorios de GitHub y cuentas de Twitter falsas se encuentra a continuación:
- github.com/AKuzmanHSCS/Microsoft-Exchange-RCE
- github.com/BAdithyaHSCS/Exchange-0-Day
- github.com/DLandonHSCS/Discord-RCE
- github.com/GSandersonHSCS/discord-0-day-fix
- github.com/MHadzicHSCS/Chrome-0-day
- github.com/RShahHSCS/Discord-0-Day-Exploit
- github.com/SsankkarHSCS/Chromium-0-Day
- twitter.com/AKuzmanHSCS
- twitter.com/DLandonHSCS
- twitter.com/GSandersonHSCS
- twitter.com/MHadzicHSCS
«El atacante ha hecho un gran esfuerzo para crear todas estas personas falsas, solo para entregar un malware muy obvio», dijo el investigador de VulnCheck, Jacob Baines. «No está claro si han tenido éxito, pero dado que han continuado con esta vía de ataques, parece que creen que voluntad tener éxito.»
Actualmente no se sabe si se trata del trabajo de un actor aficionado o de una amenaza persistente avanzada (APT). Pero los investigadores de seguridad han pasado previamente bajo el radar de los grupos de estados-nación de Corea del Norte, como lo reveló Google en enero de 2021.
En todo caso, los hallazgos muestran la necesidad de tener precaución cuando se trata de descargar código de repositorios de código abierto. También es esencial que los usuarios analicen el código antes de ejecutarlo para asegurarse de que no presente ningún riesgo de seguridad.