Table of Contents
Introdução
As plataformas de desenvolvimento de software e colaboração, como GitHub e GitLab, são amplamente confiáveis e utilizadas, mas, recentemente, tornaram-se alvo de uma variedade crescente de atividades maliciosas. As manifestações mais recentes dessa tendência incluem uma campanha de distribuição de malware envolvendo repositórios legítimos do GitHub e a disponibilização, nesta semana, de um exploit para uma vulnerabilidade que permite a um invasor obter acesso a qualquer usuário do GitLab.
Hosting Malware on Trusted GitHub Repos
Pesquisadores da Cofense relataram, esta semana, uma campanha de phishing onde um ator de ameaça tenta direcionar vítimas nos setores de seguros e finanças para malware hospedado em repositórios confiáveis do GitHub. A campanha envolve o envio de e-mails de phishing com temas fiscais, contendo links para um arquivo protegido por senha que abriga Remcos, um trojan de acesso remoto utilizado tanto por cibercriminosos quanto por grupos apoiados por estados ao longo dos anos.
“O que torna a campanha digna de nota, de acordo com a Cofense, é como o ator de ameaça conseguiu inserir os arquivos de arquivo contendo o Remcos RAT em repositórios legítimos do GitHub pertencentes a entidades de confiança.”
Exemplos dessas entidades incluem a Receita Federal do Reino Unido (HMRC), a equivalente da Nova Zelândia, InlandRevenue, e UsTaxes, uma plataforma de arquivamento de impostos de código aberto. Em cada caso, o invasor usou comentários do GitHub para fazer o upload de um arquivo malicioso contendo o Remcos RAT nos repositórios das entidades respectivas.
Como os Ataques Estão Acontecendo
Os comentários no GitHub são úteis a um ator de ameaça, pois o malware pode ser anexado a um comentário em um repositório do GitHub sem a necessidade de ser carregado nos arquivos de código fonte desse repositório. Isso significa que qualquer repositório legítimo do GitHub que permita comentários pode conter arquivos não aprovados fora do código verificado.
Múltiplos Incidentes
Outros atores de ameaça também notaram essa oportunidade. Um exemplo recente é o Redline Stealer, cuja campanha anterior utilizou o próprio repositório do GitHub da Microsoft para hospedar o malware de roubo de informações.Emails com links para domínios como GitHub são eficazes para evitar gateways de e-mail seguro devido à sua reputação confiável. Os invasores podem, de fato, vincular diretamente seu malware a tais domínios sem a necessidade de redirecionar os usuários para outros sites.
Crescimento do Interesse dos Atores de Ameaça
Enquanto isso, o novo exploit para o GitLab visa uma vulnerabilidade crítica de bypass de autenticação que permite acesso ao GitLab no contexto de qualquer usuário. A vulnerabilidade afeta todas as versões do GitLab Community Edition e Enterprise Edition abaixo de 16.11.10. Esse exploit é mais um sinal do crescente interesse de pesquisadores e atores de ameaça em repositórios como GitHub e GitLab.
“Nos últimos anos, houve várias instâncias de ataques direcionados a repositórios no GitHub, incluindo um envolvendo ciberextorsão.”
Os usuários do GitLab também enfrentaram ataques, como CVE-2024-45409 e outras vulnerabilidades que representam uma ameaça significativa para a integridade dos pipelines de CI/CD.
#GitHub, #GitLab, #Malware, #Cibersegurança, #Phishing, #Trojan, #Remcos, #Cibercriminosos, #AtaquesDigitais, #Vulnerabilidades
autor ref: Jai Vijayan, Contributing Writer
ref:https://www.darkreading.com/vulnerabilities-threats/hackers-hide-remcos-rat-github-comments