Actores maliciosos propagan troyanos a través de 67 repositorios falsos de herramientas de hacking en GitHub
Introducción
La investigación reciente llevada a cabo por ReversingLabs ha revelado una campaña de distribución de malware que utiliza como vector principal la creación de más de 67 repositorios en GitHub, los cuales simulan proporcionar herramientas de hacking y pentesting basadas en Python. Bajo el nombre en clave “Banana Squad”, esta operación representa una evolución de una ofensiva previa detectada en 2023 relacionada con la manipulación de paquetes en el ecosistema Python Package Index (PyPI). Este tipo de actividad pone de manifiesto la sofisticación creciente de los actores de amenazas al explotar la confianza en plataformas colaborativas como GitHub para propagar código malicioso dirigido a la comunidad de ciberseguridad y desarrollo.
Contexto del Incidente
GitHub, al ser la mayor plataforma de colaboración y repositorio de código abierto, se ha convertido en un objetivo recurrente para campañas de distribución de malware. La campaña “Banana Squad” no solo se limita a la suplantación de utilidades legítimas, sino que además emplea técnicas de ingeniería social para atraer a profesionales y entusiastas del hacking ético, prometiendo herramientas que facilitan el pentesting, la explotación de vulnerabilidades o la automatización de ataques. Esta campaña es continuación de una tendencia observada en 2023, donde actores maliciosos publicaron paquetes troyanizados en PyPI y otros repositorios públicos, con el objetivo de comprometer entornos de desarrollo y producción.
Detalles Técnicos
Los repositorios identificados ofrecían supuestas herramientas de pentesting y hacking, como escáneres de vulnerabilidades, scripts para explotación de CVE y utilidades de automatización para pruebas de intrusión. Sin embargo, el análisis del código realizado por ReversingLabs determinó que estos repositorios incluían cargas útiles maliciosas integradas directamente en los scripts principales o como dependencias ofuscadas.
– **Vectores de ataque:** Descarga y ejecución de scripts Python manipulados, instalación de dependencias maliciosas con `pip`, y ejecución de instrucciones post instalación (`setup.py`).
– **TTP MITRE ATT&CK:**
– T1059 (Command and Scripting Interpreter – Python)
– T1195 (Supply Chain Compromise)
– T1566 (Phishing – mediante ingeniería social para inducir la descarga)
– T1204 (User Execution)
– **Indicadores de Compromiso (IoC):**
– Hashes SHA256 de scripts identificados.
– URLs de GitHub de los repositorios maliciosos.
– Dominio de C2 (Command and Control) al que los scripts exfiltran información o desde el que descargan payloads adicionales.
– **Exploits conocidos:** En algunos casos, los scripts descargaban plantillas de exploits para CVEs recientes, pero su código principal estaba alterado para ejecutar troyanos que permitían el acceso remoto (RAT), la descarga de backdoors adicionales o la exfiltración de credenciales.
Impacto y Riesgos
La afectación puede ser significativa para equipos de ciberseguridad, investigadores y desarrolladores que buscan herramientas en GitHub para pruebas o formación. El impacto incluye:
– **Compromiso de sistemas de desarrollo e investigación:** Al ejecutar o integrar estos scripts, los atacantes pueden obtener acceso persistente a estaciones de trabajo, entornos cloud y servidores internos.
– **Riesgo para la cadena de suministro:** La integración inadvertida de estos scripts en proyectos puede propagar el compromiso a sistemas de producción.
– **Exposición de credenciales y datos sensibles:** Los troyanos suelen incluir rutinas para la exfiltración de archivos de configuración, tokens de acceso y credenciales almacenadas.
– **Afectación de la reputación y cumplimiento normativo:** Empresas afectadas podrían incurrir en violaciones de la GDPR o NIS2, enfrentando multas significativas y daños reputacionales.
Medidas de Mitigación y Recomendaciones
– **Verificación de fuentes:** Descargar herramientas únicamente de repositorios oficiales o de autores reconocidos.
– **Auditoría de código:** Analizar el código fuente antes de la ejecución, especialmente scripts y dependencias de Python.
– **Uso de entornos aislados (sandbox):** Ejecutar scripts de fuentes externas primero en entornos controlados.
– **Monitorización y detección:** Implementar soluciones EDR y reglas YARA para identificar IoCs asociados.
– **Políticas de seguridad:** Restringir la ejecución de código no autorizado y educar a los equipos sobre los riesgos de la cadena de suministro.
– **Actualización continua:** Mantener actualizadas las herramientas y dependencias, y monitorizar avisos de seguridad en plataformas como GitHub Security Advisory.
Opinión de Expertos
Especialistas consultados por ReversingLabs y otras firmas del sector subrayan que la explotación de repositorios públicos seguirá creciendo. “El open source es doble filo: potencia la innovación, pero expone a la comunidad a riesgos de supply chain. La validación y detección temprana son claves”, apunta Eva Martínez, CISO de una empresa española de servicios gestionados. Asimismo, advierten sobre la importancia de la colaboración sectorial para compartir indicadores y bloquear rápidamente campañas similares.
Implicaciones para Empresas y Usuarios
Para las empresas, esta campaña refuerza la necesidad de robustecer los controles sobre el uso de código abierto y herramientas externas. La integración de herramientas automatizadas de análisis de dependencias y la adopción de marcos como SLSA (Supply Chain Levels for Software Artifacts) se están convirtiendo en prácticas recomendadas. Para usuarios individuales y equipos red, la formación y concienciación sobre los riesgos al descargar herramientas de fuentes no verificadas es esencial para evitar incidentes de seguridad con consecuencias graves.
Conclusiones
La campaña “Banana Squad” evidencia el riesgo creciente de compromisos en la cadena de suministro de software a través de plataformas colaborativas como GitHub. La seguridad de los entornos de desarrollo y la protección frente a ataques dirigidos requiere una combinación de controles técnicos, procesos de auditoría y concienciación continua. La colaboración y el intercambio de inteligencia entre la comunidad profesional seguirán siendo fundamentales para mitigar este tipo de amenazas emergentes.
(Fuente: feeds.feedburner.com)