AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Venta de accesos a GitHub y filtraciones de repositorios: la nueva puerta de entrada a ataques a la cadena de suministro

admin

#### 1. Introducción

En los últimos meses, la seguridad de la cadena de suministro de software se ha visto comprometida por una oleada de incidentes relacionados con la venta de accesos a cuentas de GitHub, filtraciones de repositorios privados y exposición de claves API robadas. Estas actividades, detectadas y monitorizadas en foros clandestinos y mercados de la dark web, representan un vector de ataque cada vez más explotado por actores maliciosos. Este artículo examina en profundidad cómo estas amenazas emergentes pueden servir como punto de partida para sofisticados ataques a la cadena de suministro, analizando las técnicas empleadas, los riesgos asociados y las medidas recomendadas para proteger los activos críticos de desarrollo.

#### 2. Contexto del Incidente o Vulnerabilidad

GitHub, como principal plataforma de gestión de código fuente y colaboración para millones de desarrolladores y empresas, se ha convertido en un objetivo especialmente atractivo para los ciberdelincuentes. El acceso no autorizado a repositorios privados o la filtración de credenciales y secretos embebidos en el código puede ofrecer a los atacantes la posibilidad de manipular software antes de su despliegue, introducir puertas traseras o comprometer la integridad de los proyectos. Según los últimos informes, la compraventa de accesos a cuentas de GitHub y a repositorios privados se ha incrementado un 35% en los principales foros underground desde principios de 2024, consolidándose como uno de los principales riesgos para la cadena de suministro digital.

#### 3. Detalles Técnicos

La exposición y venta de accesos a GitHub suele estar relacionada con campañas de phishing dirigido, uso de malware de robo de credenciales (infostealers como RedLine o Raccoon) y explotación de contraseñas reutilizadas o comprometidas en filtraciones anteriores. Una vez obtenido el acceso, los atacantes pueden extraer repositorios privados, analizar el código en busca de claves API, tokens OAuth y credenciales de terceros, y posteriormente monetizar esta información o utilizarla como vector inicial para ataques más avanzados.

Entre los principales vectores de ataque identificados destacan:

– **CVE relevantes**: No existen CVE directos sobre GitHub, pero sí sobre integraciones o plugins vulnerables que permiten escalar privilegios o obtener accesos indebidos.
– **TTPs (MITRE ATT&CK)**: TA0001 (Initial Access), T1078 (Valid Accounts), T1552 (Unsecured Credentials), T1047 (Windows Management Instrumentation).
– **Indicadores de compromiso (IoC)**: Accesos sospechosos a cuentas desde ubicaciones atípicas, uso de aplicaciones OAuth no autorizadas, commits realizados por cuentas comprometidas, aparición de filtraciones de repositorios en pastebins o foros clandestinos.
– **Herramientas y frameworks utilizados**: Explotación a través de Metasploit para escaneo de credenciales, uso de Cobalt Strike para el movimiento lateral y persistencia, y herramientas OSINT como GitRob o TruffleHog para rastrear secretos expuestos en el código.

#### 4. Impacto y Riesgos

El impacto de estos incidentes es significativo, tanto para empresas tecnológicas como para organizaciones de cualquier sector que dependan de software propio o de terceros. Los riesgos más relevantes incluyen:

– **Compromiso de la integridad del software**: Modificación maliciosa del código antes de su despliegue en entornos productivos.
– **Riesgo de ataques de cadena de suministro**: Inyección de malware que puede propagarse a los clientes finales.
– **Exposición de secretos y credenciales**: Acceso no autorizado a infraestructuras cloud, bases de datos o servicios de terceros.
– **Pérdida de propiedad intelectual**: Fuga de código fuente propietario y algoritmos sensibles.
– **Repercusiones legales y regulatorias**: Posibles sanciones por incumplimiento del RGPD, NIS2 y otras normativas de ciberseguridad.

Según estimaciones de Flare, el coste medio para remediar una filtración de repositorios privados supera los 250.000 euros, sin incluir los daños reputacionales ni la posible paralización de operaciones críticas.

#### 5. Medidas de Mitigación y Recomendaciones

Para minimizar el riesgo de estos ataques, se recomienda:

– **Activar y forzar el uso de MFA** en todas las cuentas de GitHub y servicios relacionados.
– **Auditar de forma continua los repositorios** en busca de secretos expuestos utilizando herramientas como GitGuardian o TruffleHog.
– **Monitorizar accesos y actividades sospechosas** mediante integración con SIEM y alertas sobre commits, push y pull inusuales.
– **Rotar periódicamente todas las claves y tokens** embebidos en el código, evitando su almacenamiento en repositorios.
– **Limitar el acceso a repositorios privados** bajo el principio de mínimo privilegio y revocar los accesos a ex-empleados o integradores externos.
– **Realizar simulacros de respuesta ante incidentes** específicamente orientados a la cadena de suministro y la gestión de repositorios.

#### 6. Opinión de Expertos

Andrés López, CISO de una multinacional tecnológica, afirma: “La exposición de accesos a GitHub en foros underground es solo la punta del iceberg. Las empresas deben dejar de considerar el código fuente como un simple activo de desarrollo y tratarlo como un elemento crítico de seguridad”. Por su parte, expertos de Flare señalan que la detección temprana de accesos y filtraciones en canales clandestinos es clave para anticipar ataques y reducir el tiempo de exposición.

#### 7. Implicaciones para Empresas y Usuarios

Las organizaciones deben concienciar tanto a desarrolladores como a responsables de seguridad sobre la criticidad de la gestión de secretos y la monitorización de la cadena de suministro. El uso creciente de componentes open source y la presión por acelerar los ciclos DevOps hacen imprescindible reforzar los controles de seguridad en todo el ciclo de vida del software. Los usuarios finales, por su parte, deben exigir transparencia sobre la seguridad de los productos que utilizan y velar por la actualización continua de aplicaciones.

#### 8. Conclusiones

La compraventa de accesos a cuentas de GitHub y la exposición de repositorios privados constituyen una amenaza real y en auge para la cadena de suministro de software. Adoptar una estrategia de defensa en profundidad, reforzar la gestión de secretos y anticipar posibles filtraciones mediante inteligencia de amenazas son medidas imprescindibles para mitigar estos riesgos en 2024 y más allá.

(Fuente: www.bleepingcomputer.com)