REPOSITORIOS DE GITHUB QUE OFRECEN EXPLOITS DE POC INFECTADOS CON MALWARE

25/10/2022

BOLETÍN NRO 2022-617

Investigadores del Leiden Institute Of Advanced Computer Science encontraron miles de repositorios en GitHub que ofrecen exploits de prueba de concepto (PoC) infectados con malware.

 

Servicios Afectados

• Sistemas operativos Windows

 

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA   GitHub es una de las plataformas de alojamiento de código más grandes, y los investigadores la usan para publicar vulnerabilidades de PoC para ayudar a la comunidad de seguridad a verificar soluciones para vulnerabilidades o determinar el impacto y el alcance de una falla. Los investigadores analizaron un poco más de 47 300 repositorios que anuncian un exploit para una vulnerabilidad revelada entre 2017 y 2021 utilizando los siguientes tres mecanismos: Análisis de direcciones IP : comparación de la IP del editor de PoC con listas de bloqueo públicas y VT y AbuseIPDB. Análisis binario: se ejecuto comprobaciones de VirusTotal en los ejecutables proporcionados y sus hashes. Análisis hexadecimal y Base64: decodificación de archivos ofuscados antes de realizar comprobaciones binarias y de IP. De las 150 734 direcciones IP únicas extraídas, 2864 entradas de la lista de bloqueo coincidieron, 1522 se detectaron como maliciosas en los análisis antivirus en Virus Total y 1069 de ellas estaban presentes en la base de datos AbuseIPDB. El análisis binario examinó un conjunto de 6160 ejecutables y reveló un total de 2164 muestras maliciosas alojadas en 1398 repositorios. En total, 4.893 repositorios de los 47.313 probados se consideraron maliciosos, y la mayoría de ellos se referían a vulnerabilidades de 2020. Los investigadores informaron todos los repositorios maliciosos que descubrieron a GitHub, pero pasará algún tiempo hasta que todos sean revisados y eliminados, por lo que muchos aún permanecen disponibles para el público.

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Verificar si el repositorio en GitHub está en una fuente verificada, ya que en caso contrario, el contenido no estaría moderado.
• Se recomienda a los probadores de software que analicen cuidadosamente los PoC que descargan y ejecuten tantas verificaciones como sea posible antes de ejecutarlos.
• Si el código está demasiado ofuscado y necesita demasiado tiempo para analizarlo manualmente, guárdelo en un entorno (por ejemplo, una máquina virtual aislada) y verifique su red en busca de tráfico sospechoso.
• Utilice herramientas de inteligencia de código abierto como VirusTotal para analizar archivos binarios.
• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

 

Fuente

• Fuente 1: Thousands of GitHub repositories deliver fake PoC exploits with malware
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com