Github – descargas con regalito (clipboard hijacking)

[DdmrDdmr]

Supongo que la mayoría somos conscientes que la descarga de software entraña sus riesgos, y no hablo sólo de software pirata, sino de software aparentemente útil e inofensivo que podemos descargar desde Github.

La recopilación más clara en el foro la podemos tener en este hilo donde la gente reporta casos sospechosos de malware, estando una inmensa parte de los asociados a archivos subidos a github, emulando falsos proyectos asociados a hilos que les dan publicidad (hasta que alguien los detecta).

Otros casos se dan cuando un actor malicioso crea repositorios en Github y usa tácticas para intentar darles visibilidad (actualizaciones automáticas, cuentas participativas falsas, etc.), usando como gancho una utilidad aparente.

Ejemplos como los mostrados en la imagen forman parte de una campaña detectada recientemente, que focaliza en el robo de criptomonedas mediante malware de tipo Clipboard Jacking, cambiando a la postre las direcciones destino a las cuales uno quiere remitir criptomonedas por las del maleante.

Hay que ir con mil ojos (y el freno de mano echado en las descargas …)

Ver:
https://www.secureblink.com/cyber-security-news/clipboard-hijacking-targets-crypto-users-on-git-hub

[1714503221]

1714503221

[1714503221]

1714503221

[darbitmobilerecovery]

Buena info Ddmr como siempre.

Esta es una de las cosas que mas miedo me da del internet del futuro, y no me refiero solo a nosotros mismos si no la cyberseguridad en general para todos.
Yo hace años (10 o mas) que no descargo prácticamente nada salvo cosas que no se pueden esquivar o de fuentes muy oficiales, porque la verdad es que a esta altura todo lo que se puede hacer desde el browser es altísimo y no hay necesidad de descargar muchas cosas.

Ahora bien siempre me entra la duda o el pensamiento de que tan solo falta que se rompa un eslabón de confianza de alguna pagina gubernamental o algún repositorio como este ultimo (github) muy confiable como para que nos entre el troyano mas grande de la historia.

Siempre pienso, y si un desarrollador o usuario confiable un día decide meter algo.... y esto medio ya ha pasado en el pasado con un reconocido gestor de torrents.

El problema es que cada día el riesgo es mayor porque hoy en día todo es mucho mas valioso, me refiero a lo que tenemos en la PC, internet, nube, etc.

[Hispo]

Cómo siempre, gracias por traer la alerta al foro local. Se que quizá (aunque nuestro volumen de actividad no sea de lo más masivo), eso no quiere decir que este tipo de hilos de salven por lo menos a una persona de perder sus activos a manos de scammers.
En mi experiencia personal por ese tipo de repositorios de código, siempre he tenido una experiencia relativamente positiva, como consumidor de software que soy. Pero me he limitado a la descargas de billeteras open source y con una reputación relativamente alta.

Creo que la última vez que descargue algo de peso desde github fue cuando me di una vuelta por el repositorio de Trezor, con el objetivo de comprobar que tan abierto es su software y hardware en realidad.

La verdad es que con toda esta avalancha de malware, ransomware y ahora hijacking the portapapeles uno tiene que pensarlo bien antes de bajar software pirata, recuerdo que en los años 2000, el peor de los casos era un virus que medio molestaba un rato. Ahora las consecuencias han evolucionado a lo que antes se hubiese considerado ciencia ficción.

[seoincorporation]

Lo interesante de el articulo es que estamos hablando de código abierto (github), si los atacantes tienen ya el descaro de poner su ataque en código plano imaginen lo que no harán con programas que ya vienen compilados.

Creo que ya van un par de veces que github permite que los usuarios suban malware, tal vez es hora de que la plataforma cambie sus políticas y empiece a poner filtros en los códigos que se publican, eso sería algo bueno para la comunidad.

[Hispo]

Lo interesante de el articulo es que estamos hablando de código abierto (github), si los atacantes tienen ya el descaro de poner su ataque en código plano imaginen lo que no harán con programas que ya vienen compilados.

Creo que ya van un par de veces que github permite que los usuarios suban malware, tal vez es hora de que la plataforma cambie sus políticas y empiece a poner filtros en los códigos que se publican, eso sería algo bueno para la comunidad.

He allí una de las más grandes ironías en cuanto se trata del codigo abierto y de programas de software libre. Siempre he tenido esta idea (algo absurda) de que en un mundo ideal todos harían de sus habilidades de coding y conocimientos de computación para comprobar por ellos mismos la integridad de lo que están descargando. Pero en la realidad, sabemos que casi nadie de los usuarios finales se toma la molestia de verificar el codigo fuente del programa que está descargando.

Están dadas las condiciones para que el usuario final no tenga que confiar en el desarrollador y aún así, decide hacerlo, quizá por cosas de comodidad y las malas costumbres que hemos acumulado con los software cerrados de toda la vida.

Sea como sea, si github efectivamente decide que es hora de dar restricciones a lo que está y no está permitido subir por parte de los usuarios, entonces lo único que se me ocurre es que utilicen un sistema de reporte o entrenen un algoritmo para intentar analizar los codigos que se suben y ponerles el tag de malware.

Quizá necesiten suerte con eso.

[Porfirii]

Lo interesante de el articulo es que estamos hablando de código abierto (github), si los atacantes tienen ya el descaro de poner su ataque en código plano imaginen lo que no harán con programas que ya vienen compilados.

Creo que ya van un par de veces que github permite que los usuarios suban malware, tal vez es hora de que la plataforma cambie sus políticas y empiece a poner filtros en los códigos que se publican, eso sería algo bueno para la comunidad.

-snip-

Sea como sea, si github efectivamente decide que es hora de dar restricciones a lo que está y no está permitido subir por parte de los usuarios, entonces lo único que se me ocurre es que utilicen un sistema de reporte o entrenen un algoritmo para intentar analizar los codigos que se suben y ponerles el tag de malware.

Quizá necesiten suerte con eso.

Leyendo a seoincorporation me preguntaba si realmente se podrían poner filtros que detecten malware en github. No soy muy ducho en este asunto y, aunque al ser código abierto al que nos referimos, por lo que es más sencillo de detectar el malware, el coste y la efectividad de dichos filtros puede que no fueran los deseables, habida cuenta de la cantidad de código que allí se sube. Y aún siendo eficientes en cuanto a costes, y efectivos, ¿no supondrían una barrera en cuanto a tiempo necesario para la subida?

El problema del sistema de reporte que menciona Hispo (¿no existe ya?) es que, como comentábais, primero tiene que haber alguien que lo revise. En cuanto al algoritmo supongo que se refiere al mismo filtro que se refería seoincorporation, pero sería lo ideal si no supone otros inconvenientes.

Mientras tanto, y en lo que a cripto se refiere, lo de siempre: vigilar las descargas y mantener una política de seguridad consistente en instalar lo menos posible y estrictamente necesario, y siempre revisar dígito a dígito y todos los caracteres de las direcciones pegadas, antes de darle a "enviar".

[Hispo]

Lo interesante de el articulo es que estamos hablando de código abierto (github), si los atacantes tienen ya el descaro de poner su ataque en código plano imaginen lo que no harán con programas que ya vienen compilados.

Creo que ya van un par de veces que github permite que los usuarios suban malware, tal vez es hora de que la plataforma cambie sus políticas y empiece a poner filtros en los códigos que se publican, eso sería algo bueno para la comunidad.

-snip-

Sea como sea, si github efectivamente decide que es hora de dar restricciones a lo que está y no está permitido subir por parte de los usuarios, entonces lo único que se me ocurre es que utilicen un sistema de reporte o entrenen un algoritmo para intentar analizar los codigos que se suben y ponerles el tag de malware.

Quizá necesiten suerte con eso.

Leyendo a seoincorporation me preguntaba si realmente se podrían poner filtros que detecten malware en github. No soy muy ducho en este asunto y, aunque al ser código abierto al que nos referimos, por lo que es más sencillo de detectar el malware, el coste y la efectividad de dichos filtros puede que no fueran los deseables, habida cuenta de la cantidad de código que allí se sube. Y aún siendo eficientes en cuanto a costes, y efectivos, ¿no supondrían una barrera en cuanto a tiempo necesario para la subida?

El problema del sistema de reporte que menciona Hispo (¿no existe ya?) es que, como comentábais, primero tiene que haber alguien que lo revise. En cuanto al algoritmo supongo que se refiere al mismo filtro que se refería seoincorporation, pero sería lo ideal si no supone otros inconvenientes.

Mientras tanto, y en lo que a cripto se refiere, lo de siempre: vigilar las descargas y mantener una política de seguridad consistente en instalar lo menos posible y estrictamente necesario, y siempre revisar dígito a dígito y todos los caracteres de las direcciones pegadas, antes de darle a "enviar".

Ciertamente, como estamos hablando de una librería que almacena una cantidad colosal de proyectos y de códigos fuente puede que no sea efectivo el hacer un filtro para buscar malware o software malintencionado dentro de todo el grueso de la página. Pero de la forma en que yo lo veo, si GitHub se dedica a únicamente en el analizar y comprobar aquellos programas que utilizan librerías o líneas de código para la manipulación de Bitcoiin y otros activos digitales, entonces ya se está excluyendo a mucho de lo que la gente podría estar subiendo en un primer lugar y sería más factible. Un algoritmo que detecte la librerías y de detectarles, entonces seguir con un analisis más esmerado sobre la intención de esas librerías.

[darbitmobilerecovery]

Sinceramente no creo que se pueda demasiado, el ejemplo ya lo tenemos actualmente con el playstore y su homónimo de Apple, y vemos seguido que cada tanto se le cuelan cosas que no cuadran con los standares o que son pishing.

Si bien en esto que menciono es mas bien pishing o cuestiones con otros trasfondo y no tanto malware como tal sirve para dimensionar lo difícil y casi imposible que es filtrar, viendo que estas mega empresas con mega presupuestos, cada tanto se les pasa algo. Dicho esto no quiere decir que no se intente filtrar y que esto no sirva, claramente sirve, por eso la tasa es tan baja.

[seoincorporation]

Leyendo a seoincorporation me preguntaba si realmente se podrían poner filtros que detecten malware en github. No soy muy ducho en este asunto y, aunque al ser código abierto al que nos referimos, por lo que es más sencillo de detectar el malware, el coste y la efectividad de dichos filtros puede que no fueran los deseables, habida cuenta de la cantidad de código que allí se sube. Y aún siendo eficientes en cuanto a costes, y efectivos, ¿no supondrían una barrera en cuanto a tiempo necesario para la subida?

Personalmente lo que yo haría es conectar github al API de Virustotal:

https://docs.virustotal.com/reference/overview

De esta manera cada código que se sube pasaría por un proceso de análisis, y no eliminaría el código, simplemente dejaría una advertencia en un banner exponiendo el exploit en el código, indicando en que lineas se encuentra y el riesgo que representa. De esta manera la gente podría descargar software de una forma mas segura.

[dominguero]

Es un sistema realmente sofisticado, dirigido a usuarios muy experimentados.

Hasta ahora los regalos que he visto en GitHub eran más que evidentes, en el foro de anuncios de altcoin en 2017 eran de lo más común.

Un proyecto clonado, o directamente sin nada, con una "release" más que sospechosa.

Que el malware estuviera en el código, y se ejecute al compilarlo, ya es de por sí preocupante... pero toda la ingeniería social para posicionarse en GitHub, para dar sensación de un proyecto legítimo, para saltarse los antivirus rellenando de ceros el ejecutable y comprimirlo cifrado...

Desconozco si ha sido progresivo o esto es un salto importante, pero es muy preocupante, tanto por los medios empleados, como al sector al que va dirigido.

[Hispo]

Sinceramente no creo que se pueda demasiado, el ejemplo ya lo tenemos actualmente con el playstore y su homónimo de Apple, y vemos seguido que cada tanto se le cuelan cosas que no cuadran con los standares o que son pishing.

Si bien en esto que menciono es mas bien pishing o cuestiones con otros trasfondo y no tanto malware como tal sirve para dimensionar lo difícil y casi imposible que es filtrar, viendo que estas mega empresas con mega presupuestos, cada tanto se les pasa algo. Dicho esto no quiere decir que no se intente filtrar y que esto no sirva, claramente sirve, por eso la tasa es tan baja.

Mi percepción sobre las tiendas de aplicaciones para los teléfonos es que la tienda de Apple tiene más control de calidad sobre lo que se publica, con parado con lo que pasa en la Play Store. Incluso, creo recordar que para poder publicar una aplicación en la tienda de Apple es necesario pagar un fee inicial, eso de suma a que hay mas telefonos Android que IOS en circulación. En un todo, los scammers y ladrones de satoshis tienen más motivos para esparcir sus aplicaciones maliciosas en Android que en IOS. Es algo similar con la distribución de virus en Windows, comparado con los virus que uno puede encontrarse en Linux y sus distribuciones.

Te invito a que busques en Youtube videos que tengan como título "Android garbage", se tratan de videos de comedia sobre streamers que se descargan cualquier cantidad de juegos basura y los juegan para reírse de la baja calidad de los mismos. Le hace uno darse cuenta realmente de lo lejos que puede devenir una tienda de aplicaciones que en su momento tuvo un mínimo de control. Pero obviamente el volumen de apps y usuarios ha hecho que dicho control de pierda mucho.