GitHACK! Somos la vulnerabilidad

Github siendo hackeado? Para la mayoría, eso no suena demasiado irrazonable, ya que las principales empresas tecnológicas y las menores han sido pirateadas antes. Sin embargo, esto no significa que la probabilidad de que Github sea pirateado sea alta. ¿Porqué es eso? Github es el principal repositorio de código abierto para todos en la industria de TI.

Independientemente del subsector. Incluso si alguien hace sistemas integrados, desarrollo Web3, desarrollo Web2, ciencia de datos, etc., la mayoría usaría Github para almacenar su código. Es por esto que la seguridad de Github siempre ha sido tan extremadamente alta. No solo porque querían que sus usuarios confiaran en ellos, sino también porque el código en los repositorios de Github de sus usuarios está lleno de claves privadas criptográficas, claves privadas de API, credenciales financieras e incluso software propietario de múltiples empresas en la industria de TI a nivel mundial. Es por esta razón que Github siempre ha sido mano dura con su seguridad y accesibilidad para el usuario, es por eso que su piratería, aunque no del todo sorprendente, es muy sorprendente y preocupante.

Contexto del Githack:

¿Qué tipo de ataque de pirateo fue? Es un ataque de malware. Por lo tanto, no se hubiera esperado un DDoS tradicional o un ataque de penetración forzada, pero es potencialmente más letal. El pirata informático/los piratas informáticos cargaron una pieza generalizada de malware en diferentes repositorios en toda la plataforma.

¿Qué hace el malware? copia cualquier información financiera, información de autenticación y claves criptográficas privadas, esencialmente el ENV del script. Luego, cuando se acepta en el repositorio y se ejecuta localmente en las computadoras afectadas, copiará y enviará la información al atacante. Por lo tanto, no es un hackeo en el sentido tradicional, pero definitivamente un hackeo, ya que la información todavía se extrajo a través de medios de violación de datos no consensuados.

¿Cuál es la amplitud del ataque de pirateo? este particular intento de hackeo ha alcanzado nada más y nada menos que 35.000 repositorios de Github. Se ha infiltrado en repositorios como python repo, golang repo, docker repo y bash repo. Algunos de los repositorios afectados incluso estaban archivados y sin usar. Algunos incluso fueron vistos con el malware dentro de ellos desde 2015. Esto indica que el ataque fue bien documentado y planificado.

¿Cómo se infiltra en los repositorios de Github? Se agrega a los repositorios de Github a través de un compromiso y en el compromiso a través de scripts npm o diferentes clasificaciones de imágenes de docker. Por lo tanto, principalmente, solo sería vulnerable si su proyecto utilizara javascript de alguna manera o ventana acoplable. Luego, si se acepta el compromiso y se clona y usa en el repositorio principal, los usuarios que lo clonaron se verán afectados.

¿Cómo prevenir esto?

Mientras escribo sobre este incidente, todas las partes involucradas en la limpieza, los propietarios del repositorio y Github, ya están en el proceso de control de daños y se aseguran de que esto no vuelva a suceder. Solo podemos especular y preguntarnos cuáles serán las diferentes técnicas de seguridad y defensas que usará Github para protegerse de futuros ataques. Como tal, debemos centrarnos en nosotros como individuos o grupos. ¿Qué podemos hacer en nuestra propia capacidad para detener futuros robos de datos como este?

• No acepte solicitudes de envío de personas al azar a su repositorio. Sé que esto podría ser más difícil para la mayoría de los grandes proyectos de código abierto. Sin embargo, tenga cuidado al aceptar solicitudes de inserción, especialmente si las solicitudes de inserción editan las variables ambientales de su aplicación.

• Siempre verifique qué es exactamente lo que está clonando desde un repositorio de git. Sé que la mayoría de nosotros activamente no hacemos esto. Simplemente porque los repositorios contienen tantos archivos y carpetas que hacer un seguimiento de ellos y analizarlos uno por uno será agotador. Por lo tanto, sería prudente verificar los archivos más importantes, como los archivos Léame y .env.

• Utilice pruebas de seguridad en las solicitudes de inserción. Github en realidad tiene un marco de seguridad, impulsado por Githook, que le permite enviar solicitudes de publicación HTTP cuando se cumplen ciertos eventos durante la solicitud de inserción. Existen diferentes tecnologías que pueden analizar su solicitud push o pull en busca de vulnerabilidades de seguridad, virus comunes y otros tipos de violaciones de seguridad en su código.

En general, que esto sea una lección para todos nosotros. Los ataques que pueden hacer las organizaciones/personas nefastas no solo son rudimentarios, sino también avanzados y muy incondicionales, así como planificados a largo plazo. Como desarrolladores, debemos ser más conscientes de las vulnerabilidades de nuestro código, repositorios, computadoras e incluso de nosotros mismos y que si alguien quiere información, puede encontrar formas muy diferentes de obtenerla. Incluso si Internet debería ser seguro, no significa que lo sea. Depende de cada uno hacer su parte para que sus propios datos estén seguros y, si puede, encuentre formas de ayudar a otros a mantener sus datos seguros.

Para leer más sobre la situación, vaya aquí: https://www.bleepingcomputer.com/news/security/35-000-code-repos-not-hacked-but-clones-flood-github-to-serve-malware/