Investigadores detectan en GitHub casi 4.900 repositorios con PoC contenedores de 'malware'

Captura de la interfaz de GitHub
Captura de la interfaz de GitHub - UNSPLASH
Publicado: lunes, 24 octubre 2022 11:49

   MADRID, 24 Oct. (Portaltic/EP) -

   Un grupo de investigadores ha detectado casi 4.900 repositorios en la plataforma de alojamiento de código GitHub que integran 'exploits' de prueba de concepto (PoC) capaces de descargar archivos con 'malware'.

   GitHub es una plataforma en la que programadores y desarrolladores publican estos PoC para que su comunidad pueda descargarlos y utilizarlos para verificar correcciones de vulnerabilidades o bien determinar el impacto o alcance de un error de seguridad.

   Investigadores del Instituto de Ciencias Avanzadas de la Computación de Leiden (Países Bajos) han llevado a cabo un estudio de 47.313 repositorios de GitHub de PoC sobre vulnerabilidades descubiertas entre 2017 y 2021.

   Para determinar si estos PoC con maliciosos, se hizo un análisis en profundidad de datos como las direcciones IP de los repositorios, análisis binario, de codificación hexadecimal (que se utiliza para conocer las cargas útiles maliciosas) y base64, que busca 'scripts' ocultos para encontrar conexiones con IP externas.

   De los repositorios analizados, un total de 4.893 se consideraron maliciosos (esto es, el 10,3 por ciento del total) y la mayoría de ellos se referían a vulnerabilidades de 2020, tal y como recoge el artículo de la investigación.

"Esta tasa de exploits no fiables es bastante alarmante, ya que están siendo utilizados por personas de todo el mundo", subrayan en el texto de la investigación.

Este también indica que los investigadores hallaron grandes cantidades de 'malware' y 'scripts' maliciosos. Entre algunos de ellos destacan el 'script' Python, contenido en el PoC para la vulnerabilidad CVE-2019-0708, conocido internamente como BlueKeep, así como el troyano conocido como Houdini, basado en JavaScript.

   Los investigadores han notificado estos problemas a GitHub y han determinado la necesidad de desarrollar técnicas de detección más robustas. No obstante, han indicado que son conscientes de que es difícil automatizar completamente el proceso de detección para evitar futuros ataques.

Más información