{"id":27369,"date":"2024-05-16T15:55:11","date_gmt":"2024-05-16T21:55:11","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=27369"},"modified":"2024-05-16T15:55:11","modified_gmt":"2024-05-16T21:55:11","slug":"beware-github-malicious-links","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/beware-github-malicious-links\/27369\/","title":{"rendered":"Malware al acecho en enlaces “oficiales” de GitHub y GitLab"},"content":{"rendered":"

Uno de los consejos de seguridad m\u00e1s antiguos es: \u201cDescarga solo software de fuentes oficiales\u201d. Por lo general, las \u201cfuentes oficiales\u201d son las principales tiendas de aplicaciones de cada plataforma, pero para millones de aplicaciones de c\u00f3digo abierto \u00fatiles y gratuitas, la fuente m\u00e1s \u201coficial\u201d es el repositorio del desarrollador en un sitio especializado como GitHub o GitLab. All\u00ed, puedes encontrar el c\u00f3digo fuente del proyecto, las correcciones y las incorporaciones al c\u00f3digo y, a menudo, una compilaci\u00f3n de la aplicaci\u00f3n lista para usar. Cualquiera que tenga el m\u00e1s m\u00ednimo inter\u00e9s en ordenadores, software y programaci\u00f3n conoce estos sitios. Por eso fue un descubrimiento desagradable para muchas personas (incluidas las especialistas en seguridad de TI y los propios desarrolladores) que un archivo al que se puede acceder con un enlace como github{.}com\/{User_Name}\/{Repo_Name}\/files\/{file_Id}\/{file_name}<\/em> podr\u00eda ser publicado por otra persona que no sea el desarrollador y contener cualquier cosa.<\/p>\n

Por supuesto, los ciberdelincuentes se aprovecharon de esto inmediatamente.<\/p>\n

Desglosemos el problema<\/h2>\n

GitHub y su pariente cercano GitLab se construyen en torno a la colaboraci\u00f3n en proyectos de desarrollo de software. Un desarrollador puede cargar su c\u00f3digo y otros pueden ofrecer incorporaciones, correcciones o incluso crear bifurcaciones, que son versiones alternativas de la aplicaci\u00f3n o biblioteca. Si un usuario encuentra un error en una aplicaci\u00f3n, puede informarlo al desarrollador mediante un informe del problema. Otros usuarios pueden confirmar el problema en los comentarios. Tambi\u00e9n puedes escribir comentarios sobre nuevas versiones de la aplicaci\u00f3n. Si es necesario, puedes adjuntar archivos a los comentarios, como capturas de pantalla que muestran el error o documentos que hacen que la aplicaci\u00f3n falle. Estos archivos se almacenan en servidores de GitHub mediante enlaces del tipo que describimos anteriormente.<\/p>\n

Sin embargo, GitHub tiene una peculiaridad: si un usuario prepara un comentario y carga los archivos adjuntos, pero no hace clic en \u201cPublicar\u201d, la informaci\u00f3n permanece \u201catascada\u201d en el borrador y es invisible tanto para el propietario de la aplicaci\u00f3n como para otros usuarios de GitHub. Sin embargo, se crea un enlace directo completamente funcional al archivo cargado en el comentario y cualquiera que lo abra recibe el archivo de la CDN de GitHub.<\/p>\n

\"Se<\/a>

Se genera un enlace de descarga para un archivo malicioso despu\u00e9s de que el archivo se a\u00f1ade a un comentario no publicado en GitHub.<\/p><\/div>\n

Mientras tanto, los propietarios del repositorio donde se publica este archivo en los comentarios no pueden eliminarlo ni bloquearlo. \u00a1Ni siquiera se enteran! Tampoco hay una configuraci\u00f3n para restringir la carga de dichos archivos para el repositorio en su conjunto. La \u00fanica soluci\u00f3n es desactivar los comentarios por completo (en GitHub, puedes hacerlo por hasta seis meses), pero eso privar\u00eda a los desarrolladores de recibir comentarios.<\/p>\n

El mecanismo de comentarios de GitLab es similar, lo que permite que se publiquen archivos a trav\u00e9s de borradores de comentarios. Se puede acceder a los archivos a trav\u00e9s de un enlace como gitlab.com\/{User_Name}\/{Repo_Name}\/uploads\/{file_Id}\/{file_name}.<\/em><\/p>\n

Sin embargo, el problema en este caso se mitiga un poco por el hecho de que solo los usuarios de GitLab registrados y conectados pueden cargar archivos.<\/p>\n

Un regalo para las campa\u00f1as de phishing<\/h2>\n

Gracias a la capacidad de publicar archivos arbitrarios en enlaces que comienzan con GitHub\/GitLab y que contienen los nombres de desarrolladores respetados y proyectos populares (ya que se puede dejar un comentario no publicado con un archivo en casi cualquier repositorio), los ciberdelincuentes tienen la oportunidad de realizar ataques de phishing muy convincentes. En los repositorios de Microsoft ya se han descubierto campa\u00f1as maliciosas<\/a> en las que se dejan \u201ccomentarios\u201d, que supuestamente contienen aplicaciones de trucos para juegos.<\/p>\n

Un usuario atento podr\u00eda preguntarse por qu\u00e9 habr\u00eda trucos de un juego en el repositorio de Microsoft: https:\/\/github{.}com\/microsoft\/vcpkg\/files\/\u2026..\/Cheat.Lab.zip<\/em>. Pero es mucho m\u00e1s probable que las palabras clave \u201cGitHub\u201d y \u201cMicrosoft\u201d tranquilicen a la v\u00edctima, que no examinar\u00e1 demasiado el enlace. Los delincuentes m\u00e1s inteligentes pueden disfrazar su malware con m\u00e1s cuidado, por ejemplo, present\u00e1ndolo como una nueva versi\u00f3n de una aplicaci\u00f3n distribuida a trav\u00e9s de GitHub o GitLab y publicando enlaces a trav\u00e9s de \u201ccomentarios\u201d en esa aplicaci\u00f3n.<\/p>\n

C\u00f3mo protegerte del contenido malicioso en GitHub y GitLab<\/h2>\n

Este error de dise\u00f1o a\u00fan no se ha corregido y cualquiera puede cargar archivos arbitrarios libremente en la CDN de GitHub y GitLab, por lo que los usuarios de estas plataformas deben tener mucho cuidado.<\/p>\n