Puntos clave
- GoIssue es una nueva herramienta cibernética dirigida a los desarrolladores de GitHub y sus cuentas.
- Creada por actores de amenazas vinculados a GitLocker, GoIssue recopila correos electrónicos y envía ataques de phishing dirigidos a los desarrolladores de GitHub.
- Las capacidades de esta herramienta se extienden al acceso corporativo, la manipulación de código y las amenazas a la cadena de suministro.
- GoIssue se vende por hasta 3.000 dólares en la web oscura, lo que demuestra su valor potencial.
- SlashNext advierte que los desarrolladores y las empresas de software deben tener cuidado con las herramientas que se infiltran en las plataformas de código abierto.
Los desarrolladores de software, aplicaciones e IA casi nunca programan sus productos desde cero. Para acelerar la producción, los desarrolladores recurren a bibliotecas de código abierto para obtener código llave en mano.
GitHub es la mayor plataforma de desarrollo de software del mundo y alberga millones de proyectos y bibliotecas de código abierto.
Sin embargo, una nueva investigación advierte de que se está utilizando una nueva herramienta delictiva, GoIssue, para colarse en las cuentas de los desarrolladores de GitHub. Los riesgos son peores de lo esperado.
- Ver más
SlashNext descubre un ataque a gran escala contra GitHub
El martes 12 de noviembre, los investigadores de SlashNext informaron de que habían descubierto una nueva herramienta que se comercializa en el mundo cibercriminal clandestino.
La herramienta está siendo distribuida a través de foros de hackers y Telegram por un actor de amenazas que forma parte del infame equipo de atacantes GtiLocker Team, que adquirió notoriedad por acabar con los repositorios de GitHub en un plan de extorsión en junio de este año.
La nueva herramienta, al igual que GitLocker, se dirige exclusivamente a los desarrolladores de GitHub. El motivo es sencillo: Obtener acceso a una cuenta de desarrollador de GitHub da potencialmente a los atacantes acceso al entorno corporativo del desarrollador, incluidos los repos o las bibliotecas utilizadas en los nuevos productos.
Según este razonamiento, un desarrollador de software es un objetivo de gran valor para los ciberdelincuentes y una vía de acceso al código en bruto que utiliza una empresa.
Los investigadores de SlashNext explicaron que la herramienta GoIssue, que encontraron promocionada en Internet por ciberdelincuentes, puede extraer direcciones de correo electrónico de perfiles de GitHub y enviar correos masivos de phishing directamente a cada bandeja de entrada.
Aunque, a primera vista, GoIssue no parece más que un capturador de correos electrónicos/enviador de spam personalizado, en realidad, es mucho más peligroso.
Según SlashNext:
«Esta sofisticada herramienta, potencialmente vinculada a la campaña de extorsión GitLoker, representa algo más que otra amenaza de phishing: es una puerta de acceso al robo de código fuente, ataques a la cadena de suministro y violaciones de la red corporativa a través de credenciales de desarrollador comprometidas.»
¿Hasta qué punto deben preocuparse las empresas de desarrollo de software?
Preguntamos al equipo de investigadores de SlashNext hasta qué punto debería preocupar al sector del desarrollo de software la posibilidad de que los recursos que utilizan sus desarrolladores contengan puertas traseras ocultas, programas espía u otros programas maliciosos.
«En efecto, las empresas de software deberían estar muy preocupadas por GoIssue y herramientas similares».
«A medida que estas herramientas amplían su alcance, se dirigen cada vez más a los propios recursos de los que dependen los desarrolladores para crear y desplegar software», nos dijo el equipo de investigación de SlashNext.
El equipo añadió que esta herramienta representa un riesgo de malware oculto, puertas traseras y software espía en las herramientas de desarrollo que podría llevar a comprometer el código fuente, ataques a la cadena de suministro, daños a la reputación y mucho más.
Las plataformas de desarrollo se han convertido en campos de batalla
SlashNext afirma que las plataformas de desarrollo como GitHub se han convertido en campos de batalla de la seguridad, especialmente en lo que respecta a su conexión con ataques que utilizan aplicaciones OAuth maliciosas para secuestrar repositorios.
Aunque GitHub es el objetivo inmediato, los atacantes no se detienen ahí. Pueden propagarse por toda la organización, convirtiendo el acceso de confianza de los desarrolladores en potenciales vulnerabilidades organizativas que podrían comprometer iniciativas enteras de transformación digital.
Una herramienta como GoIssue supone un gran riesgo, ya que proporciona a los atacantes un vector de ataque eficaz y es automatizada y escalable.
El precio de 3.000 dólares de GoIssue en la Dark Web lo dice todo
Una versión personalizada de la herramienta GoIssue se vende ahora por 700 dólares en el mercado clandestino. Los que quieran el paquete completo (acceso total al código fuente) tendrán que rascarse más el bolsillo, ya que se vende por 3.000 $.
El elevado precio de esta herramienta es otra clara señal del daño que puede causar cuando grupos sofisticados de ciberdelincuentes se hacen con ella.
GoIssue está equipado con capacidades de correo electrónico masivo y sofisticadas funciones de recopilación de datos. Además, la herramienta tiene funciones de evasión de detección para los atacantes que les permiten enmascarar su identidad a través de redes proxy.
Una vez que los atacantes tienen los correos electrónicos de los desarrolladores de software de GitHub, pueden utilizar la herramienta para elaborar correos electrónicos convincentes que no llamen la atención de los detectores de spam.
Los desarrolladores que no comprueben la legitimidad de los correos maliciosos podrían ser dirigidos a páginas de phishing diseñadas para suplantar la identidad de GitHub u otros sitios y robar sus credenciales.
Los atacantes también pueden redirigir a las víctimas a descargas de malware o a solicitudes falsas de autorización de aplicaciones OAuth que conceden a los atacantes acceso a repositorios y datos privados.
GoIssue puede enviar miles de correos electrónicos de una sola vez, lo que aumenta el riesgo de que se produzcan violaciones, robos de datos y proyectos comprometidos.
Las similitudes entre GoIssue y el ataque GitLocker son tales que SlashNext cree que GoIssue podría ser la evolución de GitLocker. SlashNext advirtió a los desarrolladores:
«Si eres un desarrollador que utiliza GitHub, GoIssue es una señal de alarma».
Un avatar generado por IA que lidera el ataque
Techopedia realizó una búsqueda inversa del avatar de Telegram que «Cyber D’ Luffy» utilizó para su cuenta. Descubrimos que la imagen del avatar se creó utilizando un popular generador de imágenes de IA (NightCafe) el año pasado.
Lo más probable es que el alias Cyber D’ Luffy y el avatar utilizado por el distribuidor de esta herramienta delictiva estén inspirados en el popular personaje de anime japonés «D Luffy», estrenado en 1999 y que sigue siendo famoso hoy en día.
Sin embargo, el alias «Luffy» también está vinculado a un mundo más oscuro en Japón: los «Robos de la Banda Luffy». La Banda de Luffy, llamada así por el alias de su líder, es responsable de un gran número de robos violentos de alto perfil que tuvieron lugar en varias regiones de Japón a lo largo de 2021 y 2022.
La Banda de Luffy utilizaba las redes sociales para reclutar cómplices y los dirigía a distancia para llevar a cabo los robos. En las operaciones del grupo participaba una compleja red de individuos, tanto en Japón como en Filipinas, lo que ponía de relieve el carácter transnacional del grupo delictivo.
Los robos de Luffy siguen siendo relevantes hoy en día. La semana pasada, un hombre fue condenado a cadena perpetua en Japón por participar en los robos.
Esto no significa que el usuario que promociona la nueva herramienta GitHub en Telegram esté relacionado con ninguno de estos temas. Sin embargo, proporciona un fuerte trasfondo cultural que, de alguna manera, influye en el actor malicioso.
¿El peor escenario posible? Los investigadores de SlashNext nos han respondido a esta pregunta.
“El peor de los casos con GoIssue implicaría que los atacantes suplantaran con éxito a los desarrolladores de GitHub a escala, consiguiendo acceso no autorizado a repositorios corporativos y proyectos sensibles.
«Estos desarrolladores podrían pertenecer a todo tipo de entidades que trabajan en infraestructuras nacionales y otras: las posibilidades son infinitas».
Conclusión
No es la primera vez que informamos sobre los peligros de los repositorios y bibliotecas de código abierto y de cómo las plataformas utilizadas por los desarrolladores, como GitHub, son objetivos principales para los ciberdelincuentes.
Sin embargo, esta nueva herramienta, vinculada a los actores de la amenaza GitLocker, no es la típica campaña de spam o una herramienta de bajo nivel utilizada por ciberdelincuentes no cualificados.
Los grupos que atacan específicamente a los desarrolladores deben considerarse altamente sofisticados y capaces, ya que van tras el ciclo DevOps.
Al violar la cuenta de un desarrollador, los atacantes no sólo pueden acceder al código en uso, sino que también pueden manipular canalizaciones e incluso extraer información corporativa.
A medida que el desarrollo de software cambia a marchas superiores impulsado por el aprendizaje automático y la inteligencia artificial, la superficie de ataque digital del desarrollador se convierte en un entorno muy codiciado por los actores de amenazas.