Un ataque de malware Megalodon comprometió más de 5.500 repositorios de GitHub durante varias horas

A principios de semana se pudo conocer que una vulnerabilidad en GitHub había sido explotada por ciberdelincuentes. En tan solo seis horas, una campaña de malware con nombre Megalodon consiguió meterse en la cadena de suministro de la plataforma.

El problema es que hablamos de GitHub y aquí trabajan más de 180 millones de desarrolladores y unas cuatro millones de organizaciones en todo el planeta. Básicamente, el 90% de las empresas de la lista Fortune 100 guarda su código allí.

El ataque fue tan rápido que los sistemas de defensa no lo detectaron a tiempo e inyectaron más de 5.700 modificaciones de código (commits) en un total de 5.561 repositorios independientes.

El ataque no tuvo que hackear los ordenadores de los programadores uno por uno. En lugar de eso, se dedicó a meter el código malicioso en los sistemas automáticos que usan las empresas para preparar, probar y subir sus aplicaciones a internet.

Saltan las alarmas en Chromium: Google expone por accidente un fallo grave aún sin corregir

Para conseguirlo, los hackers usaron cuentas falsas con nombres aleatorios. Además, se hicieron pasar por los robots automáticos de mantenimiento que las propias empresas configuran. Para cualquiera que revisara el historial del trabajo, el cambio parecía una actualización normal sin problemas aparentes.

Pero el verdadero peligro de Megalodon está en las dos opciones que los atacantes crearon para que todo saliese perfecto. La primera, llamada SysDiag, era una versión del ataque que hacía que el código malicioso se ejecutara de forma automática cada vez que alguien subía un cambio al proyecto. 

La segunda variante, llamada Optimize-Build, era más peligrosa: cambiaba las tareas por una orden silenciosa que se quedaba dormida. Esto permitía a los atacantes activar el hackeo a distancia cuando quisieran.

Claude Mythos es tan potente que está obligando a una revisión a nivel mundial de los riesgos cibernéticos: "Amplifica los problemas, no los soluciona"

Lo peor que puede suceder con este ataque es que acabe salpicando a un proyecto importante que, a su vez, contagie a miles de empresas más. Eso es exactamente lo que le pasó a Tiledesk, una plataforma de chat en vivo que usan muchas páginas web. 

Los atacantes eligieron este proyecto como su blanco principal y metieron la variante Optimize-Build directamente en sus archivos. El creador de la plataforma, sin saber que algo malo estaba sucediendo, siguió con su día a día y publicó las nuevas versiones de su programa, repartiendo el problema a cualquiera.

Una vez que todo se ponía en marcha, el código infectado iniciaba un robo total de información en los servidores de las empresas afectadas. El virus se llevaba claves de Amazon Web Services (AWS), códigos de acceso de Google Cloud, contraseñas de bases de datos y llaves de seguridad de Azure. 

Por suerte, la empresa de seguridad SafeDep consiguió dar la voz de alarma gracias a un sistema automático que detectó el código escondido dentro del programa de Tiledesk. Tras investigar lo que estaba pasando, descubrieron que todos los caminos llevaban a un único servidor central controlado por los hackers bajo la dirección de internet 216.126.225.129:8443. Parece que este fallo ya se está cerrando para que todo quede perfectamente limpio.

Grafana se niega a pagar el rescate a los hackers tras el robo de su código fuente mediante un token de GitHub

No es el único hackeo a GitHub: TeamPCP ha robado unos 4.000 repositorios con código interno

Aunque perfectamente podría estar relacionado, lo cierto es que hablamos de dos casos totalmente distintos. Hace unos días, se pudo saber que el grupo de ciberdelincuentes TeamPCP afirmaba haber conseguido entrar en la infraestructura privada de la plataforma y haber robado unos 4.000 repositorios con código interno.

Por si fuese poco, han puesto un anuncio de venta en el foro Breached pidiendo un mínimo de 50.000 dólares a quien quiera hacerse con lo secuestrado. Estos han dejado claro que su idea no es extorsionar a la propia GitHub.

Prefieren que sea un comprador individual el que se haga con todo. Tal y como afirman, si nadie paga, lo van a filtrar todo de forma totalmente gratuita.

Por ahora, la compañía propiedad de Microsoft ha querido mandar un mensaje de calma. Confirman que están investigando este "acceso no autorizado" a sus repositorios internos, pero aseguran que, con los datos que tienen ahora mismo sobre la mesa, no hay pruebas de que el código o la información privada de los clientes finales se haya visto afectada.