Los investigadores de ciberseguridad han publicado más de 67 repositorios de GitHub que los actores de amenaza afirman proporcionar herramientas de piratería basadas en Python, pero han descubierto una nueva campaña que ofrece cargas útiles de troyanizadas.
La actividad, llamada Banana Squad por ReversingLabs, se descargó más de 75,000 veces en 2023 y se califica como una continuación de la campaña Rogue Python que se dirige al repositorio del índice de paquetes Python (PYPI) con paquetes falsos con capacidades de tipo de información en los sistemas de Windows.
Los hallazgos se construyeron en un informe anterior del Centro de Tormenta de Internet de SANS en noviembre de 2024, y detallaron la herramienta «Steam-Account-Checker» alojada en GitHub. Esto incorpora capacidades de sigilo y le permite descargar código malicioso a la aplicación de billetera de criptomonedas Exodus y los datos de la cosecha y los datos de Harves y en la aplicación Extus CropTocurrency Wallet.
Un análisis posterior de repositorios e infraestructura controlada por los atacantes ha descubierto 67 repositorios de GitHub troyanizados que se hacen pasar por repositorios benignos del mismo nombre.
Hay evidencia que sugiere que los usuarios que buscan software como herramientas de limpieza de cuentas, limpiadores de cuentas de discordia, trucos externos de Fortnite, verificadores de nombre de usuario de Tiktok y trucos de juegos como verificadores de cuentas a granel de PayPal son los objetivos de la campaña. Todos los repositorios identificados fueron eliminados posteriormente por GitHub.
«Las puertas traseras y el código de troilerización en los repositorios del código fuente público como Github se están volviendo más comunes y representan el crecimiento de los vectores de ataque de la cadena de suministro de software».
«Para los desarrolladores que confían en estas plataformas de código abierto, es esencial reafirmar siempre que el repositorio que usan contiene lo que realmente esperan».
Github como servicio de distribución de malware
El desarrollo se produce cada vez más a medida que Github se está convirtiendo en el foco de varias campañas como vector de entrega de malware. A principios de esta semana, Trend Micro dijo que había descubierto 76 repositorios maliciosos de Github dirigidos por amenazas que los actores llamaron maldiciones de agua para proporcionar malware en varias etapas.
Estas cargas útiles están diseñadas para absorber sus credenciales, datos del navegador y tokens de sesión, proporcionando a los actores de amenaza acceso remoto permanente a los sistemas comprometidos.
A continuación, utilizamos un servicio criminal conocido como Stargazers Ghost Network para verificar la luz de puntos de Point en otra campaña dirigida a usuarios de Minecraft con malware basado en Java. La red Ghost Stargazers se refiere a una colección de cuentas de Github que propagan malware o enlaces maliciosos a través de un repositorio de phishing.
«La red consta de múltiples cuentas que distribuyen enlaces maliciosos y malware y realizan otras acciones que realizan otras acciones, como protagonizar, bifurcarse o registrarse con repositorios maliciosos.
Las compañías de ciberseguridad también calificaron que tales cuentas de «Github ‘Ghost» son simplemente parte de la foto épica, mientras que otras cuentas de «fantasmas» operan en diferentes plataformas como parte integral del universo de distribución más grande como servicio.
CheckMarx publicó varios aspectos de Stargazers Ghost Network en abril de 2024, llamando a un patrón de actores de amenaza que utiliza estrellas falsas para eliminar actualizaciones frecuentes para inflar artificialmente la popularidad del repositorio, y confirma que está aumentando por encima de los resultados de búsqueda de GitHub.
Estos repositorios están inteligentemente disfrazados como proyectos legítimos relacionados con herramientas como juegos populares, trucos, rastreadores de precios de criptomonedas y juegos de apuestas de choque, como la predicción multiplicadora.
Estas campañas también se tejen en otra onda de ataque dirigida a los ciberdelincuentes novatos, con el objetivo de estar fácilmente disponibles herramientas de malware y ataque en Github con un repositorio de backdoides, infectando elementos robados de información.
En un ejemplo resaltado por Sophos este mes, se descubrió que el repositorio de ratas Sakura Troilizado incorporaba un código malicioso que comprometió a las personas que usaban elementos robados de información y otros troyanos de acceso remoto (ratas) para compilar malware en sus sistemas.
El repositorio identificado actúa como un conducto para los eventos previos a la construcción de Visual Studio, los scripts de Python, los archivos de pantalla de captura de pantalla y cuatro tipos de puertas traseras integradas en JavaScript, robando datos, comunicándose a través de Telegram, obteniendo más cargas útiles, incluidos Ashnararat, Remkosrat y RanMesteel.
En general, la compañía de seguridad cibernética dijo que había detectado más de 133 repositorios de backloo como parte de su campaña, con 111 detectando puertas traseras de Builidd y otros que organizan Python, Screensaver y JavaScript Backors.
Sophos también señaló que estas actividades están vinculadas a la distribución como operaciones de servicio (DAA) que han estado operando desde agosto de 2022, y utilizando miles de cuentas de GitHub para distribuir malware integrado en repositorios troyanizados, con un enfoque en las trucos de juegos, las explotaciones y las herramientas de ataque.
Se desconoce el método de distribución exacta utilizado en la campaña, pero también se cree que los actores de amenaza dependen de los servidores de discordia y los canales de YouTube para difundir los enlaces a los repositorios troyados.
«No está claro si esta campaña se vincula directamente con si algunas o todas las campañas anteriores se han informado, pero el enfoque parece ser popular y efectivo y es probable que continúe de alguna manera», dijo Sophos. «En el futuro, el enfoque puede cambiar y los actores de amenaza pueden dirigirse a otros grupos que no sean cibercriminales y jugadores desconocidos que usan trucos».
Source link
