{"id":1098837,"date":"2023-12-19T15:04:16","date_gmt":"2023-12-19T15:04:16","guid":{"rendered":"https:\/\/teknomers.com\/es\/hackers-que-abusan-de-github-para-evadir-la-deteccion-y-controlar-hosts-comprometidos\/"},"modified":"2023-12-19T15:04:21","modified_gmt":"2023-12-19T15:04:21","slug":"hackers-que-abusan-de-github-para-evadir-la-deteccion-y-controlar-hosts-comprometidos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/hackers-que-abusan-de-github-para-evadir-la-deteccion-y-controlar-hosts-comprometidos\/","title":{"rendered":"Hackers que abusan de GitHub para evadir la detecci\u00f3n y controlar hosts comprometidos"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>19 de diciembre de 2023<\/span>\ue804<\/i>Las noticias de los piratas inform\u00e1ticos<\/span><\/span>Seguridad del software\/Inteligencia sobre amenazas<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los actores de amenazas utilizan cada vez m\u00e1s GitHub con fines maliciosos a trav\u00e9s de m\u00e9todos novedosos, incluido el abuso de Gists secretos y la emisi\u00f3n de comandos maliciosos a trav\u00e9s de mensajes de confirmaci\u00f3n de git.<\/p>\n

“Los autores de malware ocasionalmente colocan sus muestras en servicios como Dropbox, Google Drive, OneDrive y Discord para alojar malware de segunda etapa y eludir herramientas de detecci\u00f3n”, afirma Karlo Zanki, investigador de ReversingLabs. dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n

“Pero \u00faltimamente hemos observado un uso cada vez mayor de la plataforma de desarrollo de c\u00f3digo abierto GitHub para alojar malware”.<\/p>\n

Se sabe que los actores de amenazas utilizan servicios p\u00fablicos leg\u00edtimos para alojar malware y actuar como solucionadores de ca\u00edda muerta<\/a> para recuperar la direcci\u00f3n de comando y control (C2) real.<\/p>\n

PR\u00d3XIMO SEMINARIO WEB<\/span> <\/p>\n

Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad<\/p>\n

<\/a> <\/p>\n

Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes. <\/p>\n

\u00danete ahora<\/a> <\/section>\n

Si bien el uso de fuentes p\u00fablicas para C2 no los hace inmunes a las eliminaciones, s\u00ed ofrecen el beneficio de permitir a los actores de amenazas crear f\u00e1cilmente una infraestructura de ataque que sea econ\u00f3mica y confiable.<\/p>\n

Esta t\u00e9cnica es enga\u00f1osa, ya que permite a los actores de amenazas combinar su tr\u00e1fico de red malicioso con comunicaciones genuinas dentro de una red comprometida, lo que dificulta la detecci\u00f3n y respuesta a las amenazas de manera efectiva. Como resultado, las posibilidades de que un punto final infectado que se comunica con un repositorio de GitHub sea marcado como sospechoso son menos probables.<\/p>\n

El abuso de GitHub apunta a una evoluci\u00f3n de esta tendencia. Los gists, que no son m\u00e1s que repositorios, ofrecen una manera f\u00e1cil para que los desarrolladores compartan fragmentos de c\u00f3digo con otros.<\/p>\n

Vale la pena se\u00f1alar en esta etapa que las esencias p\u00fablicas aparecen en la p\u00e1gina de GitHub. Descubre el feed<\/a>mientras que las esencias secretas, aunque no se puede acceder a ellas a trav\u00e9s de Discover, se pueden compartir con otros compartiendo su URL.<\/p>\n

“Sin embargo, si alguien que no conoces descubre la URL, tambi\u00e9n podr\u00e1 ver tu esencia”, GitHub notas<\/a> en su documentaci\u00f3n. “Si necesita mantener su c\u00f3digo alejado de miradas indiscretas, es posible que desee crear un repositorio privado”.<\/p>\n

Otro aspecto interesante de los secretos esenciales es que no se muestran en la p\u00e1gina de perfil de GitHub del autor, lo que permite a los actores de amenazas aprovecharlos como una especie de servicio de Pastebin.<\/p>\n

ReversingLabs dijo que identific\u00f3 varios paquetes PyPI, a saber, httprequesthub, pyhttpproxifier, libsock, libproxy y libsocks5, que se hac\u00edan pasar por bibliotecas para manejar el proxy de red, pero conten\u00edan una URL codificada en Base64 que apuntaba a una esencia secreta alojada en una cuenta de GitHub desechable sin ning\u00fan proyectos de cara al p\u00fablico.<\/p>\n

Gist, por su parte, presenta comandos codificados en Base64 que se analizan y ejecutan en un nuevo proceso a trav\u00e9s de c\u00f3digo malicioso presente en el archivo setup.py de los paquetes falsificados.<\/p>\n

\"La<\/a><\/center><\/div>\n

Trend Micro destac\u00f3 previamente el uso de esencias secretas para entregar comandos maliciosos a hosts comprometidos en 2019 como parte de una campa\u00f1a que distribuye una puerta trasera llamada SLUB (abreviatura de SLack y githUB).<\/p>\n

Una segunda t\u00e9cnica observada por la empresa de seguridad de la cadena de suministro de software implica la explotaci\u00f3n de las funciones del sistema de control de versiones, bas\u00e1ndose en mensajes de confirmaci\u00f3n de git para extraer comandos para su ejecuci\u00f3n en el sistema.<\/p>\n

El paquete PyPI, llamado easyhttprequest, incorpora c\u00f3digo malicioso que “clona un repositorio git espec\u00edfico de GitHub y verifica si la confirmaci\u00f3n ‘principal’ de este repositorio contiene un mensaje de confirmaci\u00f3n que comienza con una cadena espec\u00edfica”, dijo Zanki.<\/p>\n

“Si lo hace, elimina esa cadena m\u00e1gica y decodifica el resto del mensaje de confirmaci\u00f3n codificado en Base64, ejecut\u00e1ndolo como un comando de Python en un nuevo proceso”. El repositorio de GitHub que se clona es una bifurcaci\u00f3n de un proyecto PySocks aparentemente leg\u00edtimo y no tiene ning\u00fan mensaje de confirmaci\u00f3n de git malicioso.<\/p>\n

Todos los paquetes fraudulentos ahora se han eliminado del repositorio del \u00edndice de paquetes de Python (PyPI).<\/p>\n

“El uso de GitHub como infraestructura C2 no es nuevo en s\u00ed mismo, pero el abuso de funciones como Git Gists y los mensajes de confirmaci\u00f3n para la entrega de comandos son enfoques novedosos utilizados por actores maliciosos”, dijo Zanki.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n