GitHub, la reconocida plataforma global esencial para programadores y fuente de una vasta base de conocimientos y repositorios para proyectos de código abierto, gestión de código y almacenamiento de datos, se encuentra actualmente bajo el ataque de un proceso automatizado malicioso. Este ataque involucra la clonación y creación masiva de repositorios de código dañino, lo que representa un desafío significativo para la comunidad de desarrolladores y la integridad de la plataforma.
Un atacante desconocido ha logrado implementar un proceso automatizado que bifurca y clona repositorios existentes, añadiendo código malicioso oculto bajo siete capas de ofuscación, según informa Ars Technica. Estos repositorios maliciosos son difíciles de distinguir de sus contrapartes legítimas, y algunos usuarios, sin ser conscientes de la naturaleza maliciosa del código, están bifurcando los repositorios afectados, contribuyendo involuntariamente a la magnitud del ataque.
El uso de un repositorio afectado inicia el despliegue de un código oculto que se desempaca a través de siete capas de ofuscación, incluyendo código Python malicioso y un ejecutable binario. Este código procede a recopilar datos confidenciales y detalles de inicio de sesión para luego subirlos a un servidor de control.
Los equipos de investigación y datos de la empresa de seguridad Apiiro han estado monitoreando una resurgencia del ataque desde sus comienzos relativamente menores en mayo del año pasado. Aunque GitHub ha estado eliminando rápidamente los repositorios afectados, su sistema de detección automatizado aún no logra identificar muchos de ellos, y las versiones subidas manualmente continúan evadiendo la detección.
Dada la escala actual del ataque, que los investigadores estiman en millones de repositorios subidos o bifurcados, incluso una tasa de error del 1% implica potencialmente miles de repositorios comprometidos aún presentes en la plataforma.
El ataque, inicialmente de menor escala cuando fue documentado por primera vez, ha evolucionado gradualmente en tamaño y sofisticación. Los investigadores han identificado varias razones potenciales para el éxito continuado de la operación, incluyendo el vasto tamaño de la base de usuarios de GitHub y la creciente complejidad de la técnica utilizada.
Lo que resulta particularmente intrigante es la combinación de métodos de ataque automatizados sofisticados y la simple naturaleza humana. A medida que los métodos de ofuscación se han vuelto más complejos, los atacantes han dependido en gran medida de la ingeniería social para confundir a los desarrolladores y hacer que elijan el código malicioso en lugar del legítimo, propagando así el ataque y dificultando su detección.
A pesar de los desafíos presentados, GitHub ha emitido un comunicado general reafirmando su compromiso con la seguridad de sus usuarios, destacando la existencia de equipos dedicados a la detección, análisis y eliminación de contenido y cuentas que violan sus Políticas de Uso Aceptable, empleando revisiones manuales y detección a gran escala que utiliza aprendizaje automático y se adapta constantemente a los ataques adversarios.
La popularidad de GitHub, si bien la ha establecido como un recurso vital para desarrolladores en todo el mundo, también ha revelado vulnerabilidades debido a su naturaleza de código abierto y su extensa base de usuarios, lo que deja entrever que la resolución completa del problema es una batalla cuesta arriba que GitHub aún tiene por superar.