GitHub, la plataforma líder para alojamiento de código y proyectos open-source, se ha convertido en un objetivo atractivo para cibercriminales que buscan distribuir malware entre los desarrolladores.
Recientemente, investigadores de Check Point Research han descubierto la red Stargazers Ghost Network en GitHub, que distribuye malware usando repositorios de la plataforma. Esta red ofrece sus servicios en la Dark Web para distribuir código malicioso a cambio de pago.
Check Point Research estima que el grupo Stargazer Goblin ha ganado más de 100.000 dólares desde que comenzó sus operaciones en agosto de 2022. Solo entre mayo y junio de 2024, la red generó aproximadamente 8.000 dólares. Los servicios en la Dark Web incluyen la venta de estrellas para repositorios, forks, y cuentas «envejecidas» para añadir legitimidad a los repositorios maliciosos.
Descubrimiento y ‘modus operandi’
El investigador Antonis Terefos de Check Point Research reveló esta red sofisticada que actúa como un servicio de distribución de malware (‘Distribution as a Service’ o DaaS). Un ejemplo de su efectividad es Atlantida Stealer, un malware que roba credenciales de usuario y carteras de criptomonedas. En una campaña en enero de 2024, este malware infectó a más de 1.300 víctimas en solo cuatro días, tras difundirse los enlaces a los repositorios maliciosos a través de canales de Discord.
El nombre ‘Stargazer’ se refiere a la práctica de «starring» en GitHub, donde las cuentas fantasmas otorgan estrellas a los repositorios maliciosos para aumentar su visibilidad y credibilidad. Esta táctica atrae a las víctimas a descargar el contenido, pensando que se trata de proyectos fiables y populares.
Cuando GitHub detecta y elimina una cuenta maliciosa, los operadores de la red rápidamente reemplazan los enlaces rotos, asegurando que las operaciones continúen con mínima interrupción. Este enfoque modular permite a la red recuperarse rápidamente de cualquier acción tomada en su contra.
Para protegerse contra estas amenazas en GitHub, los desarrolladores deben seguir varias prácticas de seguridad. Aquí hay algunas recomendaciones:
1. Verificación de la autenticidad de los repositorios:
- Antes de clonar o descargar cualquier repositorio, verificar la autenticidad del propietario y la popularidad del proyecto a través de múltiples fuentes.
- Revisar los commits y el historial del proyecto para identificar cualquier actividad sospechosa.
2. Uso de herramientas de análisis de seguridad:
- Implementar herramientas de análisis de seguridad en el pipeline de desarrollo para detectar cualquier código malicioso o vulnerabilidades.
- Utilizar soluciones como Dependabot, Snyk, y otras herramientas de análisis de código para mantener las dependencias y el código actualizados y seguros.
3. Monitorización y auditoría continua:
- Realizar auditorías regulares de los repositorios y el código para identificar posibles riesgos.
- Monitorizar las cuentas y repositorios por cualquier actividad sospechosa o cambios inesperados.
4. Implementación de políticas de seguridad:
- Establecer políticas de seguridad estrictas para la contribución y el acceso a los repositorios.
- Utilizar autenticación de dos factores (2FA) para proteger las cuentas de GitHub.
5. Formación y concienciación:
- Capacitar a los equipos de desarrollo sobre las amenazas de seguridad y las mejores prácticas para proteger los proyectos en GitHub.
- Mantenerse informado sobre las últimas amenazas y vulnerabilidades a través de blogs de seguridad, informes de investigación y alertas de seguridad de GitHub.
En fin la detección de la red Stargazers Ghost Network subraya la importancia de la ciberseguridad en las plataformas de desarrollo. Con el aumento de los ciberataques dirigidos a plataformas como GitHub, es crucial que los desarrolladores y empresas tomen medidas proactivas para proteger sus proyectos y datos. Adoptar prácticas de seguridad robustas y estar constantemente alerta a las nuevas amenazas puede ayudar a mitigar los riesgos y garantizar un entorno de desarrollo seguro.
Fuente: CheckPoint Research
