La importante plataforma de desarrolladores GitHub se enfrentó a un ataque de malware generalizado e informó de 35 000 “accesos de código” en un día en el que se agotaron miles de billeteras basadas en Solana por millones de dólares.
El ataque generalizado fue destacado por el desarrollador de GitHub, Stephen Lucy, quien informó por primera vez sobre el incidente el miércoles. El desarrollador se encontró con el problema mientras revisaba un proyecto que encontró en una búsqueda de Google.
Estoy descubriendo lo que parece ser un ataque masivo de malware generalizado en @github.
– Actualmente más de 35k repositorios están infectados
– Hasta ahora encontrado en proyectos que incluyen: crypto, golang, python, js, bash, docker, k8s
– Se agrega a los scripts de npm, a las imágenes de la ventana acoplable y a los documentos de instalación. pic.twitter.com/rq3CBDw3r9— Stephen Lacy (@stephenlacy) 3 de agosto de 2022
Hasta el momento, se ha descubierto que el ataque ha afectado a varios proyectos, desde crypto, Golang, Python, JavaScript, Bash, Docker y Kubernetes. El ataque de malware está dirigido a las imágenes de la ventana acoplable, los documentos de instalación y el script NPM, que es una forma conveniente de agrupar los comandos de shell comunes para un proyecto.
Para engañar a los desarrolladores y acceder a datos críticos, el atacante primero crea un repositorio falso (un repositorio que contiene todos los archivos del proyecto y el historial de revisión de cada archivo) y envía clones de proyectos legítimos a GitHub. Por ejemplo, las siguientes dos instantáneas muestran este proyecto legítimo de criptominería y su clon.
Muchos de estos repositorios de clones se enviaron como “solicitudes de extracción”, lo que permite a los desarrolladores informar a otros sobre los cambios que han enviado a una rama en un repositorio en GitHub.
Relacionado: Según los informes, Nomad ignoró la vulnerabilidad de seguridad que condujo a un exploit de $ 190 millones
Una vez que el desarrollador es víctima del ataque de malware, toda la variable de entorno (ENV) del script, la aplicación o la computadora portátil (aplicaciones de Electron) se envía al servidor del atacante. El ENV incluye claves de seguridad, claves de acceso a Amazon Web Services, claves criptográficas y mucho más.
El desarrollador informó el problema a GitHub y aconsejó a los desarrolladores que firmen con GPG sus revisiones realizadas en el repositorio. Las claves GPG agregan una capa adicional de seguridad a las cuentas de GitHub y los proyectos de software al proporcionar una forma de verificar que todas las revisiones provienen de una fuente confiable.