Malware invisible se infiltra en GitHub y otros repositorios
Un ataque a la cadena de suministro inunda los repositorios con paquetes maliciosos que contienen código invisible, evadiendo las defensas tradicionales
Investigadores han descubierto un nuevo ataque a la cadena de suministro que está inundando los repositorios con paquetes maliciosos que contienen código invisible, una técnica que está evadiendo las defensas de seguridad tradicionales.
Los investigadores, de la firma Aikido Security, reportaron haber encontrado 151 paquetes maliciosos que fueron subidos a GitHub del 3 al 9 de marzo. Los ataques a la cadena de suministro han sido una amenaza común para casi una década, en la que los atacantes cargan paquetes maliciosos con códigos y nombres que se asemejan a bibliotecas ampliamente utilizadas, engañando a los desarrolladores para que los incorporen en su software.
El último ataque ha adoptado una nueva técnica: el uso de código selectivo que es invisible cuando se carga en prácticamente todos los editores, terminales e interfaces de revisión de código. Si bien la mayor parte del código parece normal y legible, las funciones maliciosas y cargas útiles (los signos reveladores habituales de malware) se hacen invisibles para las defensas tradicionales.
Los investigadores deAikido Security explican que los atacantes están aprovechando los caracteres Unicode para ofuscar las partes maliciosas del código, haciéndolas aparecer como comentarios benignos o espacios en blanco para la mayoría de las herramientas y sistemas. Sin embargo, cuando se ejecuta el paquete, el código invisible se activa, lo que permite a los atacantes obtener el control de los sistemas afectados.
Esta nueva técnica plantea un desafío importante para los investigadores y desarrolladores de seguridad, ya que los métodos tradicionales de detección de malware no son efectivos contra estas amenazas invisibles. Los investigadores advierten que este vector de ataque podría ser ampliamente explotado en el futuro, a medida que los atacantes sigan encontrando nuevas formas de eludir las medidas de seguridad.
Para mitigar el riesgo de este tipo de ataques a la cadena de suministro, los expertos recomiendan que los desarrolladores y las organizaciones implementen procesos sólidos de revisión de código, utilicen herramientas automatizadas de análisis de seguridad y estén atentos a cualquier carga de paquetes sospechosos en los repositorios en los que confían.
El descubrimiento de este malware invisible resalta la evolución de la sofisticación de los ciberdelincuentes y la necesidad de una innovación continua en soluciones de seguridad para seguir el ritmo del cambiante panorama de amenazas.
Fuente: Ars Technica
